ASP程序安全-如何防止sql注入

2009-02-15 17:53

在做安全配置前，我們先了解一下入侵者的攻擊手法?，F(xiàn)在很流行注入攻擊，所謂注入攻擊，就是利用提交特殊地址將ASP中引用的正常SQL語句和入侵者所需要的SQL語句一并執(zhí)行，使入侵者達(dá)到入侵的目的?，F(xiàn)在更是有一些腳本注入工具發(fā)布，使菜鳥也可以輕松完成對(duì)ASP的注入攻擊。那么我們先來了解一下這些工具是怎樣注入的。
首先，入侵者會(huì)對(duì)一個(gè)網(wǎng)站確定可不可以進(jìn)行注入，假設(shè)一篇文章的地址為：http://www./news.asp?id=1一般會(huì)以提交兩個(gè)地址來測(cè)試，如：
http://www./news.asp?id=1 and 1=1
http://www./news.asp?id=1 and 1=2
第一個(gè)地址后面加了 and 1=1，構(gòu)成的SQL語句也就變?yōu)榱耍?span lang=EN-US>Select * from 表單名 where id=1 and 1=1這句話要成立就必須and前后語句都成立。那么前面的文章地址是可以訪問的，后面的1=1也是客觀成立的，那么第一個(gè)地址就可以正常顯示；相反1=2是顯然不成立的，關(guān)鍵就看這步了，如果提交and 1=2頁(yè)面還是正常顯示說明他并沒有將and 1=2寫入SQL語句，此站也就不存在注入漏洞；但如果提交and 1=2之后返回了錯(cuò)誤頁(yè)面則說明此站點(diǎn)將后面的語句帶入了SQL語句并執(zhí)行了，也就說明他可以進(jìn)行SQL注入。（注：如果地址后面跟的是news.asp?id='1'就得變?yōu)?span lang=EN-US>news.asp?id=1' and '1'='1來補(bǔ)全引號(hào)了）
那么，知道可以注入后入侵者可以做什么呢？
這里就簡(jiǎn)單的說一下，比如提交這樣的地址：
http://www./news.asp?id=1 and exists (select * from 表名 where 列名=數(shù)據(jù))
根據(jù)返回的正確或錯(cuò)誤頁(yè)面來判斷猜的表名和列名是否正確，具體實(shí)現(xiàn)時(shí)是先猜表名再猜列名。當(dāng)猜出表名和列名之后還可以用ASC和MID函數(shù)來猜出各列的數(shù)據(jù)。MID函數(shù)的格式為：mid(變量名,第幾個(gè)字符開始讀取,讀取幾個(gè)字符)，比如：mid(pwd,1,2)就可以從變量pwd中的第一位開始讀取兩位的字符。ASC函數(shù)的格式為：ASC（"字符串"），如：asc("a")就可以讀出字母a的ASCII碼了。那么實(shí)際應(yīng)用的時(shí)候就可以寫為：asc(mid(pwd,1,1))這樣讀取的就是pwd列的第一個(gè)字符的ASCII碼，提交： asc(mid(pwd,1,1))>97以返回的頁(yè)面是否為正確頁(yè)面來判斷pwd列的第一個(gè)字符的ASCII碼是否大于97（a的ASCII碼），如果正確就再試是否小于122（z的ASCII碼）……這樣慢慢縮小字符的ASCII碼的范圍，猜到真實(shí)的ASCII碼也只是時(shí)間的問題。一位一位的猜就可以得到數(shù)據(jù)庫(kù)中的用戶名和密碼了。還有一種ASP驗(yàn)證缺陷——就是用戶名和密碼都輸'or '1'='1，構(gòu)造SQL語句Select * form 表單名 where username='' or '1'='1' and pwd='' or '1'='1'就可以達(dá)到繞過密碼驗(yàn)證的目的。
說了那么多，其實(shí)防范的方法很簡(jiǎn)單，我們把特殊字符（如and、or、'、"）都禁止提交就可以防止注入了。ASP傳輸數(shù)據(jù)分為get和post兩種， get是通過將數(shù)據(jù)添加到URL后提交的方式，post則是利用郵寄信息數(shù)據(jù)字段將數(shù)據(jù)傳送到服務(wù)器。
那么，我們先來看看如何將get方式提交數(shù)據(jù)中的特殊字符過濾。首先要知道，IIS是以字符串的形式將get請(qǐng)求傳給asp.dll的，在將數(shù)據(jù)傳遞給Request.QueryString之后，asp解析器會(huì)解析出Request.QueryString的信息，然后跟據(jù)"&"來分出各個(gè)數(shù)組內(nèi)的數(shù)據(jù)?，F(xiàn)在我們要讓get方式不能提交以下字符：
'、and、exec、insert、select、delete、update、count、*、%、chr、mid、master、truncate、char、declare
那么，防止get方式注入的代碼就如下：
<%
dim sql_leach,sql_leach_0,Sql_DATA
sql_leach = "',and,exec,insert,select,delete,update,count,*,%,

chr,mid,master,truncate,char,declare"
sql_leach_0 = split(sql_leach,",")


If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(sql_leach_0)
if instr(Request.QueryString(SQL_Get),sql_leach_0(Sql_DATA))>0 Then
Response.Write "請(qǐng)不要嘗試進(jìn)行SQL注入！"
Response.end
end if
next
Next
End If
%> 其中，變量sql_leach中的字符串就是指定過濾的字符，以","隔開。
接著過濾post提交方式的注入，我們可以看到，request.form也是以數(shù)組形式存在的，只要對(duì)它再進(jìn)行一次循環(huán)判斷就可以了。防止以post方式注入的ASP代碼如下：
<%
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(sql_leach_0)
if instr(Request.Form(Sql_Post),sql_leach_0(Sql_DATA))>0 Then
Response.Write "請(qǐng)不要嘗試進(jìn)行SQL注入！"
Response.end
end if
next
next
end if
%> 這樣，get和post注入都被禁止了。
另外就是數(shù)據(jù)庫(kù)的問題，首先現(xiàn)在很流行的用*.asp命名數(shù)據(jù)庫(kù)已經(jīng)沒什么意義了，因?yàn)榭梢杂孟螺d軟件來下載；在數(shù)據(jù)庫(kù)名前加#的作用也不大，雖然訪問時(shí)瀏覽器只訪問#前面的內(nèi)容，但是如果將#用其unicode表達(dá)法（%23）替換掉就可以訪問了。既然這樣，那么我們禁止入侵者暴庫(kù)就可以了。一般暴數(shù)據(jù)庫(kù)的方法，是將讀取數(shù)據(jù)庫(kù)的文件名（如conn.asp）前的"/"替換為"%5c"（"\"的unicode表達(dá)法）這樣就可以使ASP將%5c解釋為訪問網(wǎng)站根目錄，而實(shí)際是數(shù)據(jù)庫(kù)不在指定位置，找不到數(shù)據(jù)庫(kù)，再將IE設(shè)置為"顯示友好的HTTP錯(cuò)誤信息"的情況下自然就暴出了數(shù)據(jù)庫(kù)的路徑。
防范的方法也比較簡(jiǎn)單，就是讓ASP程序即使在出錯(cuò)的情況下也不報(bào)錯(cuò)直接執(zhí)行下一步就可以了。在ASP文件中加這么一句：on error resume next就OK了。
還有幾點(diǎn)要注意的：
1.數(shù)據(jù)庫(kù)命名長(zhǎng)些并盡量放在網(wǎng)站根目錄下，數(shù)據(jù)庫(kù)的表名和字段名盡量不合常規(guī)；
2.保存敏感信息（如用戶和密碼）的數(shù)據(jù)庫(kù)盡量和在前臺(tái)頁(yè)面引用的數(shù)據(jù)庫(kù)分開（如果用新的暴庫(kù)方法由前臺(tái)頁(yè)面暴出了數(shù)據(jù)庫(kù)，那么入侵者也得不到有價(jià)值的信息）；
3.后臺(tái)的目錄名和登陸頁(yè)面的名字要改的不尋常些，千萬不可出現(xiàn)admin或者login之類的字符，以免被注入軟件掃描到后臺(tái)。
4.如果前臺(tái)或后臺(tái)有上傳文件的功能，切記不能有任何其他功能直接的或間接的擁有更改文件名的權(quán)限。
這樣的多重保障就更加安全些了。