Web Application Security 网络应用程序安全 - （三）Injection 注入攻击

核心提示：今天要介绍的是Top 1：Injection 注入攻击（1）什么是Injection？Injection flaws, such as SQL, OS, and LDAP injection, occur when untrusteddata is sent to an interpreter as part of a

今天要介绍的是Top 1：Injection 注入攻击

（1）什么是Injection？

Injection flaws, such as SQL, OS, and LDAP injection, occur when untrusteddata is sent to an interpreter as part of a command or query. The attacker’s hostile data can trick the interpreter into executing unintended commands or accessing unauthorized data.

（2）我的应用程序也有Injection缺陷吗？

想要知道应用程序是否具有Injection缺陷，最佳的办法就是确认应用程序是否把所有的不可信数据同命令或者查询语句彻底分隔开了。

要检查应用程序是否安全，最快捷最精确的方式是代码审查。代码分析工具可以帮助我们找出有Injection缺陷的代码，并且还可以追踪数据。测试人员也可以精心构造数据来确认应用程序是否有Injection缺陷。

自动化动态扫描可以有效帮助我们监测应用程序中是否有Injection问题存在。然而扫描器不能保证总是能够检测到Injection缺陷，并且也很难检测出Injection攻击是否成功。

（3）注入攻击例子

如果应用程序在代码中使用了如下结构的语句的话，就有Injection缺陷：

String　sSql　=　"select　*　from　ACCOUNTS　where　account_id='"　+　Request.QueryString["id"]　+　"'";

攻击者可以在浏览器中修改“id”参数的值为：[' or '1' = '1] （注：不包括方括号）并且发送给应用程序。最终生成的SQL语句就变成了：

select　*　from　ACCOUNTS　where　account_id=''　or　'1'='1'

这样导致的结果就是攻击者可以得到ACCOUNTS表里面的所有数据。如果情况更加糟糕的话，攻击者甚至可以拿到整个数据库或者服务器的管理权限。

（4）我们该怎么预防Injection缺陷？

最核心的一点就是要把不可信数据同命令或者查询语句彻底分隔开。

a.推荐使用安全的API。其中就包括使用带参数的存储过程。不过注意，使用带参数的存储过程依然有可能有Injection缺陷。

b.如果不能使用API，那就手动的检测和过滤特殊字符，例如单引号等。

c.在验证输入数据的时候使用“白名单”的方式也可以有效防止Injection。