sql-server - 转义单引号的环卫怎么能被SQL Server中的SQL注入(inject)打败呢?

标签 sql-server security tsql sql-injection sanitization

首先,我很清楚参数化查询是最好的选择,但我想问的是是什么让我在下面介绍的策略容易受到攻击。人们坚持认为以下解决方案不起作用,所以我正在寻找一个例子来说明为什么它不起作用。

如果在将动态 SQL 发送到 SQL Server 之前使用以下转义在代码中构建动态 SQL,那么哪种注入(inject)可以解决这个问题?

string userInput= "N'" + userInput.Replace("'", "''") + "'"

回答了类似的问题here ,但我认为这里没有任何答案适用。

在 SQL Server 中无法使用“\”转义单引号。

我相信使用 Unicode 的 SQL Smuggling(概述 here )会因为生成的字符串被单引号前面的 N 标记为 Unicode 这一事实而受挫。据我所知,没有其他字符集可以让 SQL Server 自动转换为单引号。如果没有未转义的单引号,我认为注入(inject)是不可能的。

我也不认为String Truncation 是一个可行的向量。 SQL Server 肯定不会进行截断,因为 nvarchar 的最大大小为 2GB according to microsoft . 2 GB 的字符串在大多数情况下是不可行的,在我的情况下也是不可能的。

Second Order Injection 是可能的,但是否可能:

  1. 所有进入数据库的数据都使用上述方法进行清理
  2. 数据库中的值永远不会附加到动态 SQL 中(当您可以在任何动态 SQL 字符串的静态部分中引用表值时,您为什么还要这样做?)。

我并不是说这比使用参数化查询更好或可以替代,但我想知道我概述的内容如何容易受到攻击。有什么想法吗?

最佳答案

在少数情况下,此转义函数会失败。最明显的是不使用单引号时:

string table= "\"" + table.Replace("'", "''") + "\""
string var= "`" + var.Replace("'", "''") + "`"
string index= " " + index.Replace("'", "''") + " "
string query = "select * from `"+table+"` where name=\""+var+"\" or id="+index

在这种情况下,您可以使用双引号、反引号“引出”。在最后一种情况下,没有什么可以“突破”的,所以你可以只写 1 union select password from users-- 或攻击者想要的任何 sql 负载。

此转义函数将失败的下一个条件是,如果在转义字符串后采用子字符串(并且,我在野外发现了这样的漏洞):

string userPassword= userPassword.Replace("'", "''")
string userName= userInput.Replace("'", "''")
userName = substr(userName,0,10)
string query = "select * from users where name='"+userName+"' and password='"+userPassword+"'";

在这种情况下,用户名 abcdefgji' 将通过转义函数转换为 abcdefgji'',然后再转换回 abcdefgji'通过获取子字符串。这可以通过将密码值设置为任何 sql 语句来利用,在这种情况下 or 1=1-- 将被解释为 sql,用户名将被解释为 abcdefgji'' 和密码=。结果查询如下:

select * from users where name='abcdefgji'' and password=' or 1=1--

T-SQL 和其他高级 sql 注入(inject)技术已经提到过。 Advanced SQL Injection In SQL Server Applications是一篇很棒的论文,如果你还没有读过的话,你应该读一读。

最后一个问题是 unicode 攻击。出现此类漏洞是因为转义函数不知道多字节编码,这可能是 used by an attacker to "consume" the escape character .在字符串前面加上“N”不会有帮助,因为这不会影响字符串后面的多字节字符的值。然而,这种类型的攻击非常罕见,因为数据库必须配置为接受 GBK unicode 字符串(我不确定 MS-SQL 是否可以做到这一点)。

二阶代码注入(inject)仍然是可能的,这种攻击模式是通过信任攻击者控制的数据源创建的。转义用于将控制字符表示为其字 rune 字。如果开发人员忘记转义从 select 获得的值,然后在另一个查询中使用该值,则 bam 攻击者将得到一个字 rune 字单引号供他们使用。

测试一切,什么都不相信。

关于sql-server - 转义单引号的环卫怎么能被SQL Server中的SQL注入(inject)打败呢?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59070872/

上一篇:python - ODOO12 : not creating db column?

下一篇:postgresql - 我可以从 JDBC 连接为 Postgres 设置 session 变量吗

相关文章:

security - 控制点 : IP address restriction to use service account from limited set of ip addresses

php - 安全上传文件

c# - ASP.NET MVC 是否适合高度安全的面向公众的站点?

sql-server - 如何将相应的列添加到 PIVOT 数据集

sql - IS NULL 和 =NULL 有什么区别

SQL:在Where子句中使用Len()在一次操作中过滤NULL和BLANKS

sql - 数据类型 varchar 和 datetimeoffset 在 add 运算符中不兼容

mysql - 如何让 MS SQL 创建具有唯一 ID 的 View ?

tsql - T-SQL 语法问题 - 在 CASE 语句中使用 OR

SQL 合并。退出时更新,不退出时插入,在存储过程中使用变量

©2024 IT工具网  联系我们