SQL注入原理深度解析

三、绕过用户认证

我们这里以一个需要用户身份认证的简单的Web应用程序为例进行讲解。假定这个应用程序提供一个登录页面，要求用户输入用户名和口令。用户通过HTTP请求发送他们的用户名和口令，之后，Web应用程序检查用户传递来用户名和口令跟数据库中的用户名和口令是否匹配。这种情况下，会要求在SQL数据库中使用一个数据库表。开发人员可以通过以下SQL语句来创建表：

CREATETABLEuser_table(

idINTEGERPRIMARYKEY,

usernameVARCHAR(32),

passwordVARCHAR(41)

); 

上面的SQL代码将建立一个表，该表由三栏组成。第一栏存放的是用户ID，如果某人经过认证，则用此标识该用户。第二栏存放的是用户名，该用户名最多由32字符组成。第三栏存放的是口令，它由用户的口令的hash值组成，因为以明文的形式来存放用户的口令实在太危险，所以通常取口令的散列值进行存放。我们将使用SQL函数PASSWORD（）来获得口令的hash值，在MySQL中，函数PASSWORD（）的输出由41字符组成。

对一个用户进行认证，实际上就是将用户的输入即用户名和口令跟表中的各行进行比较，如果跟某行中的用户名和口令跟用户的输入完全匹配，那么该用户就会通过认证，并得到该行中的ID。假如用户提供的用户名和口令分别为lonelynerd15和mypassword，那么检查用户ID过程如下所示：

SELECTidFROMuser_tableWHEREusername=’lonelynerd15’ANDpassword=PASSWORD(’mypassword’) 

如果该用户位于数据库的表中，这个SQL命令将返回该用户相应的ID，这就意味着该用户通过了认证；否则，这个SQL命令的返回为空，这意味着该用户没有通过认证。

下面是用来实现自动登录的Java代码，它从用户那里接收用户名和口令，然后通过一个SQL查询对用户进行认证：

Stringusername=req.getParameter("username");

Stringpassword=req.getParameter("password");

Stringquery="SELECTidFROMuser_tableWHERE"+

"username=’"+username+"’AND"+

"password=PASSWORD(’"+password+"’)";

ResultSetrs=stmt.executeQuery(query);

intid=-1;//-1impliesthattheuserisunauthenticated.

while(rs.next()){

id=rs.getInt("id");

}  

开头两行代码从HTTP请求中取得用户输入，然后在下一行开始构造一个SQL查询。执行查询，然后在while（）循环中得到结果，如果一个用户名和口令对匹配，就会返回正确的ID。否则，id的值仍然为-1，这意味着用户没有通过认证。表面上看，如果用户名和口令对匹配，那么该用户通过认证；否则，该用户不会通过认证——但是，事实果真如此吗？非也！读者也许已经注意到了，这里并没有对SQL命令进行设防，所以攻击者完全能够在用户名或者口令字段中注入SQL语句，从而改变SQL查询。为此，我们仔细研究一下上面的SQL查询字符串：

Stringquery="SELECTidFROMuser_tableWHERE"+

"username=’"+username+"’AND"+

"password=PASSWORD(’"+password+"’)"; 

上述代码认为字符串username和password都是数据，不过，攻击者却可以随心所欲地输入任何字符。如果一位攻击者输入的用户名为 ’OR1=1— 而口令为 x

那么查询字符串将变成下面的样子：

SELECTidFROMuser_tableWHEREusername=’’OR1=1--’ANDpassword

=PASSWORD(’x’)

该双划符号--告诉SQL解析器，右边的东西全部是注释，所以不必理会。这样，查询字符串相当于：

SELECTidFROMuser_tableWHEREusername=’’OR1=1

如今的SELECT语句跟以前的已经大相径庭了，因为现在只要用户名为长度为零的字符串’’或1=1这两个条件中一个为真，就返回用户标识符ID——我们知道，1=1是恒为真的。所以这个语句将返回user_table中的所有ID。在此种情况下，攻击者在username字段放入的是SQL指令’OR1=1--而非数据。

上一页  [1] [2] [3] 下一页