报表工具的 SQL 植入sql注入风险及规避方法

最新推荐文章于 2024-08-19 23:16:35 发布
原创 最新推荐文章于 2024-08-19 23:16:35 发布 · 781 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql植入 #sql注入 #报表工具安全 #sql注入防范

本文探讨了SQL植入(SQL注入)的概念,解释了为何报表工具存在此类风险,通过案例展示了攻击方式。针对报表工具,提出了通过自定义类和配置自定义类来规避SQL植入的方法,强调了安全防范的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原文链接:http://c.raqsoft.com.cn/article/1561683907950?r=CGQ

 

 

互联网时代带来方便的同时也带来了安全隐患,各种安全问题可说是防不胜防,特别是大家日益关心的个人信息等方面,貌似很难有什么安全和隐私可言。

而在报表作为常用的信息载体,更是直接面临各种安全挑战,例如:SQL 植入。

什么是 SQL 植入?!

报表为啥会有 SQL 植入风险?!

能不能通过报表工具提供的功能避免 SQL 植入?!

SQL 植入的概念

首先,认识一下什么是 sql 植入?

Sql 植入也常被叫做 SQL 注入,具体的做法是通过把 SQL 命令插入到 Web 表单项或页面请求(Url)的查询字符串中提交,最终达到欺骗服务器执行恶意操作的目的。

常见案例包括通过植入 SQL 骗过登录验证。而之前很多影视网站泄露 VIP 会员密码的事件,很多就是通过 sql 植入到 WEB 表单暴出的,并且这类表单特别容易受到攻击。通过 SQL 植入,不仅可以非法获取账号信息,严重的还能够篡改、删除重要数据信息。

为什么存在 SQL 植入呢?

知道了 sql 植入的概念,我们也应该了解为什么会出现 SQL 植入,问题出现在哪个环节?

1png

上图是一个最简单的三层架构的应用结构,包括业务展现层、 数据处理层、数据源。也可以理解成我们常说的前端、后台、后台数据源。

其中,数据源里有个叫数据库的东西,这是最常见的数据管理和存储方式,而关系型数据库那就更常见了,比如 oracle、db2、mysql 等。

开发的应用(数据处理层,也就是后台)为了和操作数据库(增删改查),必须和数据库之间有交流的接口,例如 jdbc 或 odbc,这对于技术人员或是 IT 销售人员也是耳熟能详的。

对于数据库的操作,尤其关系型的,普遍使用的就是 sql 语言。SQL 是一种高级的非过程化语言,只描述做什么而不需要告诉数据库怎么做。 SQL 脚本通过 api 以字符串方式传入数据库,数据库收到 sql 后只管执行然后将结果返回。对于数据库本身来说,它是不知道传来的 sql 是合法还是不合法的,而正是这种完全的信任,导致出现了 sql 植入的风险。

归根结底,SQL 植入利用了应用程序的漏洞,如果编写数据处理的代码时没有充分考虑 sql 植入风险,攻击者将很容易将 sql 命令植入后台数据库引擎执行。而这些不是按照设计者或开发者的意图去执行的 sql 命令都会被视为恶意代码。

如何攻击?

了解了 sql 植入攻击的基本原理,我们就来看看具体怎么攻击。多种多样的攻击方式中比较常见的包括:

1、特殊的输入参数

2、未处理特殊字符“–”、“#”

3、利用不合理的数据库配置

案例 1、特殊的输入参数

常见的如 union 或 or,这是 sql 内的关键字,一个用作多 sql 的归并,另一个则常用在 where 条件中。

以 Union 为例,如果攻击者在一条正常可执行的 sql 后,通过猜表名的方式拼入“union select … from user”,那么 user 表信息就完全暴露了。

Or 呢?可以使得 where 条件变的恒真,以“骗过登录验证”为例:

在程序中我们一般拼 sql 为:strSQL = “SELECT * FROM users WHERE userID = ’” + userID + “’ and pw = ’”+ passWord +“’;”

如果此时 userID 传入 1 or 1=1 ,passWord 传入 ‘1’ or 1=1, 完整的 strSQL 就变成了:“SELECT * FROM users WHERE userID=1 OR 1=1 and pw =’ 1’ OR 1=1;”

很显然,where 条件变为恒真,也就成功骗过了验证,登录进了系统。

案例 2、未处理特殊字符

以常用的注释符“–” 为例:一般的数据库均采用其作为注释符。另外,mysql 还支持“#”注释。

接下来看注释符怎么骗过登录验证。

程序 sql 依然定义为:strSQL = “select * from users where userID=”+userID+“and password=”+psw

此时 userID 传入:’’ or 1=1 –

完整 sql 则拼为:select * from users where userID=’’ or 1=1 – and password = …

“–”之后的脚本作为注释不再执行,实际条件也成了恒真,成功骗过验证,侵入系统。

对于 mysql 数据库,把“–”改为“#”同样可以实现注入。

案例 3、利用不合理的数据库配置

常见的是权限配置不合理、过高,就会有 update 和 delele 甚至 drop 表的风险。

因此建议,“永远”不要使用管理员权限连接数据库,而应该为每个应用使用单独的、权限有限的数据库连接。    

最低0.47元/天 解锁文章

200万优质内容无限畅学
2、企业网络安全:挑战、架构与未来发展
a0b1c2d3的专栏
06-05 1
本文全面探讨了企业网络安全的现状、挑战及未来发展。内容涵盖常见的网络攻击类型与成功原因,网络安全框架与流程,企业网络安全架构设计,实施与运营步骤,网络安全事件的应对与危机管理,评估与测量方法,未来发展趋势以及构建有效网络防御的哲学与要素。通过系统性分析和实践指导,帮助企业建立全面的网络安全体系,以应对不断变化的威胁环境。
WEB渗透之相关概念(笔记)
SXXYNHHXX的博客
07-17 1097
cdn全称是内容分发网络。其目的是让用户能够更快速的得到请求的数据。简单来讲,cdn就是用来加速的,他能让用户就近访问数据,这样就更更快的获取到需要的数据。举个例子,现在服务器在北京,深圳的用户想要获取服务器上的数据就需要跨越一个很远的距离,这显然就比北京的用户访问北京的服务器速度要慢。但是现在我们在深圳建立一个cdn服务器,上面缓存住一些数据,深圳用户访问时先访问这个cdn服务器,如果服务器上有用户请求的数据就可以直接返回,这样速度就大大的提升了。
报表SQL植入风险规避方法
cainiao_M的博客
06-28 363
互联网时代带来方便的同时也带来了安全隐患,各种安全问题可说是防不胜防,特别是大家日益关心的个人信息等方面,貌似很难有什么安全和隐私可言。 而在报表作为常用的信息载体,更是直接面临各种安全挑战,例如:SQL 植入。 什么是 SQL 植入?! 报表为啥会有 SQL 植入风险?! 能不能通过报表工具提供的功能避免 SQL 植入?! SQL 植入的概念 首先,认识一下什么是 sql 植入? ...
数据库审计与风险控制解决方案
weixin_34253126的博客
04-29 1391
1 概述 1.1 数据库面临的安全挑战 数据库是企业核心业务开展过程中最具有战略性的资产,通常都保存着重要的商业伙伴和客户信息,这些信息需要被保护起来,以防止竞争者和其他非法者获取。互联网的急速发展使得企业的数据库信息价值及可访问性得到了提升,同时,也致使数据库信息资产面临严峻的挑战,概括起来主要表现在以下三个层面: 管理层面:主要表现为人员的职责、流程有待完善,...
报表SQL 注入风险是什么意思?如何防范
xiaohuihui_1992的博客
07-20 1512
啥是 SQL 注入风险? 数据库要执行 SQL 访问数据,数据库是个执行机构,它只会检查传来的 SQL 是不是合乎语法,而并不会关心这个语句是否会造成伤害(数据泄露或破坏)。正因为只要符合语法规则就会执行的机制,导致 SQL 有了注入风险SQL 本身就是个字符串,而且一般没有加密,字符串可能被黑客劫持修改,这样就可能造成数据库执行了不该执行的动作。 SQL 注入的惯用做法是通过把 SQL 子串插入到 Web 表单项或页面请求(Url)的查询字符串中提交,最终达到欺骗服务器执行恶意操作的目的。 常见案
fineRePort帆软报表心得 和 功能点开发
西瓜的博客
06-15 1万+
需求:给公司的核心Boss系统做各种报表 困难:fineRePort软件熟悉的还凑合,难点在于java做的boss系统web界面和业务逻辑不熟悉,数据库的表和字段一概不知 熟悉数据库的思路:这次没有想几百张表怎么熟悉,或划模块熟悉。 而是直接参考同事以前做的报表,看他写的sql,并结合数据库文档,不断的改不断的试 看sql的难点在于,我们这报表一般的都要连十几张表,里面还各种if、c...
帆软动态参数注入使用案例
matlab_a的博客
06-07 5989
帆软动态行
常见DDoS攻击之零日漏洞Zero-day Attacks
最新发布
Grand_whh的博客
08-19 1411
零日漏洞(Zero-day vulnerability)是指软件或硬件中存在的、尚未被开发者或供应商知晓或修复的安全缺陷。由于这些漏洞尚未公开,因此也没有可用的补丁或修复程序,这使得它们成为网络攻击者的目标,特别是对于那些寻求利用这些漏洞进行恶意活动的人。
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
帆软报表体验
Hana335566的博客
07-08 884
帆软报表
SQL拼接存在的误区
oybc666的博客
05-16 330
遇到的SQL语句拼接的问题
禁止在代码中进行SQL的拼接操作
hzp666的博客
02-14 1499
1.字符串操作更容易出错。 2.sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。 3.效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。 4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句错误的.如果使用类库提供的方法来设置参数,可以在编译时就设定参数的类型. 5. 倘若之后要修改sql语句,比如where条件里要多...
安全攻防六:SQL注入,明明设置了强密码,为什么还会被别人登录
运维大湿兄的博客
04-11 1556
在正文之前,让我们先来看一个案例。某天,当你在查看应用的管理后台时,发现有很多异常的操作。接着,你很快反应过来了,这应该是黑客成功登录了管理员账户。于是,你立刻找到管理员,责问他是不是设置了弱密码。管理员很无辜地表示,自己的密码非常复杂,不可能泄漏,但是为了安全起见,他还是立即修改了当前的密码。奇怪的是,第二天,黑客还是能够继续登录管理员账号。问题来了,黑客究竟是怎么做到的呢?你觉得这里面的问题究...
sql注入实例分析
weixin_30624825的博客
07-23 3551
什么是SQL注入攻击?引用百度百科的解释: sql注入_百度百科: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执...
sql注入风险
weixin_33387378的博客
01-31 1535
 
SQL语句规避拼接风险的转换方式
New4eva的博客
12-08 451
SQL语句规避拼接风险的转换方式 List<Example> ExampleList= null; try { String sql =" select * from demo where status!=-1"; if (StringUtils.isNotEmpty(example)) { sql+=" and example='"+example+"'"; } Exa
三种方法助您缓解SQL注入威胁
Linuxprobe18的博客
10-29 1160
导读 即使是大型科技公司,依然会被软件和Web漏洞所困扰,其中SQL 注入是常见也是最危险的漏洞之一。以下是降低SQL注入漏洞风险的三大方法。 即使是大型科技公司,依然会被软件和Web漏洞所困扰,其中SQL 注入是常见也是最危险的漏洞之一。在MITRE近日发布的过去两年中最常见和最危险的25个软件漏洞列表(见下图)中,SQL注入漏洞的排名高居第六: 以下是降低SQL注入漏洞风险的三大方法: 零信任方法 首先确保客户端输入验证不是唯一的防线。这种验证是改善用户体验的好工具,但它不能作为
SQL注入问题以及解决方法
spsglz的博客
11-11 1334
sql注入 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 -- 代码中的SQL语句 "SELECT * FROM user WHERE name='" + name + "' A...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值