防御<待续>
1、构造动态字符串
动态SQL语句是在执行过程中构造的，根据不同的条件产生不同的SQL语句。当开发人员在运行过程中需要根据不容的查询标准来决定提取什么字段（如select语句），或者根据不同的条件来选择不同的查询表时，动态构造SQL语句会非常有用。
参数化查询是指SQL语句中包含一个或多个嵌入参数的查询，在运行过程中将参数传递给这些查询。包含的嵌入到用户输入中的参数不会被解析成命令而执行，而且代码不存在被注入的机会。

Paste_Image.png

SQL数据库将单引号字符（‘）解析成代码与数据间的分界线：单引号外面的内容均是需要运行的代码，而用单引号引起来的内容均是数据。因此，只需要简单地在URL或Web页面的字段中输入一个单引号，就能快读识别出Web站点是否会受到SQL注入攻击。

一、SQL注入是什么

1、Web应用的工作原理

Web应用是一种使用Web浏览器并通过Internet或内部网访问的程序，它同时还是一种使用浏览器所支持语言编写的计算机软件程序，借助普通的Web浏览器来呈现应用程序的可执行文件。

2、SQL注入

SQL注入是一种将SQL代码插入或添加到应用（用户）的输入参数中，之后再将这些参数传递给后台的SQL服务器加以解析并执行的攻击。
如果Web应用开发人员无法确保在将从Web表单、cookie、输入参数等收到的值传递给SQL查询之前已经对其进行过验证，通常就会出现SQL注入漏洞。

二、SQL注入测试

1、寻找SQL注入

识别SQL注入漏洞有一种简单地规则：通过发送意外数据来触发异常。该规则包括如下含义：识别Web应用上所有的数据输入；了解哪种类型的请求会触发异常；检测服务器响应中的异常。

1）、借助推理进行测试

（1）识别数据输入
识别远程Web应用所接受的所有数据输入，HTTP定义了很多客户端可以发送给服务器的操作，但我们只关注与寻找SQL注入相关的两种方法，GET和POST。
GET请求
GET请求是一种服务器的HTTP方法，使用该方法时，信息包含在URL中、点击一个链接时，一般会使用该方法。
只需在浏览器的导航栏中稍作修改即可操纵这些参数。此外，还可以使用代理工具。
POST请求
POST是一种用于向Web服务器发送信息的HTTP方法。在浏览器中填写表单并单击Submit按钮时通常使用该方法。如果浏览器禁止修改数据：采用两种办法，浏览器修改扩展（运行于浏览器之上的插件），代理服务器（在自己的计算机上安装代理服务器，配置浏览器以使用代理服务器）。
cookie
一般被用于验证、会话控制和保存用户特定的信息。
HTTP头
有些网络监视程序和Web趋势分析程序会使用主机头、引用站点头和用户代理头的值来创建图形，并将它们存储在数据库中。
（2）操纵参数
（3）信息工作流
Web服务器和数据库服务器是相互独立的实体。可以通过操纵SQL语句来让数据库服务器返回任意数据，而Web服务器却无法验证数据是否合法，因此会将数据回传给攻击者。

2）、数据库错误

SQL Server
类型转换错误
将字符串转换为整数来产生错误，除法运算需要两个数字作为操作数，所以数据库尝试将除号后面的不跟转换成数字，当该操作失败时，数据库会显示出变量的内容。
http://www.victim.com/showproducts.aspx?category=bikes' and 1=0/user;--
使用该技术显示出user变量的值

Paste_Image.png

http://www.victim.com/showproducts.aspx?category=bikes' having 1'='1
显示数据库执行的语句的信息

Paste_Image.png

GROUP BY 要求SELECT语句选择的字段是某个聚合函数的结果或者包含在GROUP BY子句中。如果该条件不满足，那么数据库会返回一个错误，显示出现该问题的第一列。
那么，根据该技术和，可以枚举SELECT语句中的所有列：
http://www.victim.com/showproducts.aspx?category=bikes' GROUP BY productid having '1' = '1

Paste_Image.png

数据库错误披露了接下来的name列。只需要继续增加发现的列即可枚举所有列：
http://www.victim.com/showproducts.aspx?category=bikes' GROUP BY productid， name having '1' = '1

Paste_Image.png

枚举出所有列名后，可以使用前面的类型转换错误技术来检索列对应的值
http://www.victim.com/showproducts.aspx?category=bikes' and 1=0/name;--

Paste_Image.png

Paste_Image.png

MySQL
所有主流服务器端脚本语言均能访问MySQL数据库。
Oracle

3）、应用程序的响应

（1）、常见错误
注入一个永真条件 'OR '1' = '1
注入一个永假条件 'AND '1' = '2

（2）、HTTP代码错误
HTTP200，它表示请求已成功接收。

HTTP500，Web服务器在呈现请求的Web源时如果发现错误，便会返回HTTP500。

HTTP302，重定向到首页或自定义错误页面。

4）、SQL盲注

SQL盲注是一种SQL注入漏洞，攻击者可以操纵SQL语句，应用会针对真假条件返回不同的值。但是攻击者无法检索查询结果。由于SQL盲注漏洞非常耗时且需要向Web服务发送很多请求，因而要想利用该漏洞，就需要采用自动的技术。

2、确认SQL注入

1）、区分数字和字符串

是否需要使用单引号来表示

2）、内联SQL注入

（1）字符串内联注入

Paste_Image.png

（2）数字值内联注入
注入数字时不需要添加开始和结尾的单引号定界符。

Paste_Image.png