目前，大約有2 億個活躍網(wǎng)站，其中很少有僅由互聯(lián)網(wǎng)早期流行的靜態(tài) HTML 頁面組成。大多數(shù)現(xiàn)代站點在復(fù)雜的 Web 應(yīng)用程序和數(shù)據(jù)庫的幫助下處理大量敏感數(shù)據(jù)。然而，我們很確定我們不會錯，說許多網(wǎng)站所有者并不完全了解SQL 注入（或 SQLi）是什么。

網(wǎng)絡(luò)安全狀況

現(xiàn)代網(wǎng)絡(luò)安全環(huán)境是一個相當(dāng)復(fù)雜的地方。網(wǎng)站攻擊的范圍比以往任何時候都更廣，現(xiàn)在有超過60% 的世界人口在互聯(lián)網(wǎng)上，目標(biāo)的數(shù)量也是如此。作為網(wǎng)站所有者，您的首要任務(wù)應(yīng)該是 Web 應(yīng)用程序的安全性。您可能想聽聽一個名為OWASP的組織怎么說。OWASP 代表Open Web Application Security Project ，是一個由志愿者和專家組成的在線社區(qū)，專門幫助網(wǎng)站管理員保護(hù)他們的項目。

每年，OWASP 的專家都會對管理員需要注意的最普遍的威脅進(jìn)行排名，并且在很長一段時間內(nèi)，代碼注入一直位居榜首。由于大多數(shù)現(xiàn)代網(wǎng)站使用的技術(shù)，SQLi 是迄今為止最流行的代碼注入類型。據(jù)安全公司Akamai稱，近三分之二的 Web 應(yīng)用程序攻擊涉及 SQL 注入。SQLi 肯定不是您應(yīng)該低估的威脅，但是是什么讓它如此獨特？

什么是 SQL 注入？

當(dāng)最終用戶與網(wǎng)站交互時，他們會看到一組文本和媒體文件正在排列和顯示在屏幕上。不過，幕后還有很多事情要做?；谟脩舻妮斎?，Web 應(yīng)用程序運行數(shù)據(jù)庫查詢以訪問正確的資源并顯示正確的內(nèi)容。例如，在您輸入登錄憑據(jù)并點擊Sign In后，Web 應(yīng)用程序會獲取您的用戶名和密碼并查詢數(shù)據(jù)庫以查看它們是否正確。如果是這種情況 - 您可以進(jìn)入您的個人資料。

SQL （結(jié)構(gòu)化查詢語言的縮寫）是促進(jìn)這種通信的編程語言。Web 應(yīng)用程序使用它根據(jù)用戶輸入生成數(shù)據(jù)庫查詢。在 SQL 注入場景中，攻擊者修改 SQL 查詢以接收來自數(shù)據(jù)庫的特定響應(yīng)。使用惡意查詢，他們可以獲得對敏感數(shù)據(jù)的未經(jīng)授權(quán)的訪問或損害您的系統(tǒng)完整性。

SQL 注入作為一種攻擊媒介早在1998 年就被發(fā)現(xiàn)了， 但根據(jù)Acunetix的說法，大約 8% 的現(xiàn)代網(wǎng)站仍然容易受到它的攻擊。此類網(wǎng)站的所有者最好改進(jìn)他們的配置，因為成功的 SQLi 攻擊會造成很大的破壞。

未經(jīng)授權(quán)訪問敏感信息（如登錄憑據(jù)、支付詳細(xì)信息和個人數(shù)據(jù)）可能會對任何在線業(yè)務(wù)造成災(zāi)難性影響。更重要的是，成功的 SQL 注入可以打開后門，從而促進(jìn)針對整個組織的復(fù)雜攻擊。

SQL 注入是如何工作的？

與其他形式的網(wǎng)絡(luò)犯罪不同，SQL 注入工具并非在地下黑客論壇和市場上免費提供。自動化流程的選項很少，攻擊者需要相對較高的技術(shù)技能。至少，黑客必須了解 SQL 查詢的工作原理。

首先，攻擊者確定他們的目標(biāo)。幸運的是，由于威脅如此廣為人知，現(xiàn)代 Web 應(yīng)用程序通常帶有某種形式的內(nèi)置 SQLi 保護(hù)。對于從頭開始構(gòu)建網(wǎng)站的開發(fā)人員，還有一些工具和行業(yè)最佳實踐。

不幸的是，缺乏標(biāo)準(zhǔn)化和糟糕的補丁管理意味著 SQLi 易受攻擊的網(wǎng)站仍然存在?，F(xiàn)代漏洞掃描程序可以快速識別它們。

攻擊者制作的查詢?nèi)Q于數(shù)據(jù)庫的類型和數(shù)據(jù)庫管理系統(tǒng)。下一步是對目標(biāo)進(jìn)行一些偵察。

最后，啟動實際注入。一些 SQLi 攻擊依賴于特定 HTTP 請求的更改，而在其他情況下，攻擊者使用基于 Web 的表單（例如，登錄頁面或搜索欄）來修改 SQL 查詢。

例如，黑客理論上可以使用網(wǎng)站的登錄表單在不知道管理員密碼的情況下獲得管理員權(quán)限。這是它的工作原理。

通常，當(dāng)管理員登錄時，登錄表單生成的 SQL 查詢?nèi)缦滤荆?/p>

SELECT * FROM members WHERE username = 'admin' AND password = '[the admin password]'

如果攻擊者將“ admin'- ”放入用戶名字段并將密碼字段留空，則查詢將如下所示：

SELECT * FROM members WHERE username = 'admin'- ' AND password = ”

' –緊跟在管理員用戶名之后會取消查詢的其余部分，這意味著數(shù)據(jù)庫根本不會檢查密碼字段中是否有任何內(nèi)容。

相反，它將簡單地將攻擊者記錄為管理員，這就是噩夢開始的地方......

SQL 注入的類型

根據(jù)它們產(chǎn)生的結(jié)果，您可以識別幾種不同類型的 SQL 注入：

• SQL 注入檢查數(shù)據(jù)庫——這通常是攻擊者在確定可行目標(biāo)后的待辦事項清單上的第一步。他們使用精心設(shè)計的 SQL 查詢來獲取特定于數(shù)據(jù)庫的信息，這有助于他們在接下來的攻擊階段。
• SQL 注入檢索隱藏數(shù)據(jù)——這種類型的注入揭示了攻擊者無法訪問的信息。例如，對 HTTP 請求的一次修改可以在易受 SQLi 攻擊的電子商務(wù)網(wǎng)站上顯示未列出的產(chǎn)品。
• SQLi UNION 攻擊——UNION SQL 運算符可用于在單個語句下組合多個 SQL 查詢。因此，通過修改 SQL 查詢，攻擊者可以使 Web 應(yīng)用程序從通常無法訪問的數(shù)據(jù)庫部分中抓取數(shù)據(jù)。這可能包括登錄憑據(jù)。
• 顛覆應(yīng)用程序邏輯的 SQL 注入——干擾 Web 應(yīng)用程序邏輯的能力為各種犯罪活動打開了大門。我們在上一節(jié)中概述的密碼繞過技術(shù)就是此類攻擊的一個示例。
• SQL 盲注——SQL盲注更難實施，因為 SQL 查詢結(jié)果在數(shù)據(jù)庫的響應(yīng)中不可見。但是，具有高級技術(shù)技能的攻擊者可以使用這些攻擊來觸發(fā)帶外網(wǎng)絡(luò)交互并促進(jìn)快速數(shù)據(jù)泄露。

如何防止 SQL 注入攻擊？

SQL 注入讓黑客有機會繞過身份驗證、竊取、修改和破壞數(shù)據(jù)，運行任意代碼，甚至獲得對服務(wù)器的訪問權(quán)限。通常，攻擊速度很快，管理員通常不會意識到他們已經(jīng)被擊中，直到為時已晚。換句話說，您最好采取必要的步驟來防止 SQLi 攻擊，而不是在黑客已經(jīng)入侵您的站點后嘗試將所有內(nèi)容重新組合在一起。

不同的項目需要不同的預(yù)防技術(shù)。例如，使用內(nèi)容管理系統(tǒng)(CMS) 構(gòu)建網(wǎng)站的管理員不需要手動實施特定的反 SQLi 措施。CMS 開發(fā)人員負(fù)責(zé)確保及時修補漏洞。Тhe 網(wǎng)站所有者唯一需要考慮的是在所有更新發(fā)布后立即應(yīng)用它們。

自定義編碼網(wǎng)站管理員的工作更具挑戰(zhàn)性。沒有完全消除威脅的一勞永逸的措施清單。修補漏洞所需的確切步驟取決于您使用的編程語言、 SQL 數(shù)據(jù)庫引擎以及您嘗試修復(fù)的 SQL 漏洞的類型。

不過，您可以遵循一些提示來保護(hù)您的網(wǎng)站。

• 執(zhí)行定期安全審計——漏洞掃描器可以相對容易地檢測到您站點中潛在的 SQLi 漏洞，您沒有理由不使用它們。掃描越頻繁——在為時已晚之前發(fā)現(xiàn)和修復(fù) SQLi 漏洞的機會就越大。
• 確保您已做好應(yīng)對威脅的準(zhǔn)備——如果您是維護(hù)大型網(wǎng)站的大型組織，從 QA 專家到開發(fā)負(fù)責(zé)人，每個人都需要了解 SQL 注入帶來的危險。定期向您的員工通報新的潛在攻擊也是確保他們采取適當(dāng)措施的關(guān)鍵。
• 清理所有輸入——切勿直接使用任何輸入，無論它來自經(jīng)過身份驗證的用戶還是公共用戶。您的 Web 應(yīng)用程序還必須具有清理請求和刪除潛在惡意代碼元素的機制。
• 使用久經(jīng)考驗的機制——有特定于語言的機制來保護(hù)應(yīng)用程序免受 SQL 注入。做你的研究，看看哪些提供最好的保護(hù)。使用它們而不是手動開發(fā)自己的安全技術(shù)是一個更好的選擇。
• 隨時了解最新信息并使用最新工具——SQLi 攻擊不會停止發(fā)展，我們用于保護(hù)網(wǎng)站的機制也不會停止。如果您將您的網(wǎng)站隱藏在一項舊技術(shù)之后，您將面臨嚴(yán)重的風(fēng)險，使其容易受到最新的 SQL 注入攻擊。
• 部署 Web 應(yīng)用程序防火墻——Web應(yīng)用程序防火墻使用嚴(yán)格的規(guī)則來檢查和過濾 HTTP 交換。它阻止顯示 SQLi 模式的請求，是保護(hù)您的網(wǎng)站免受各種 Web 應(yīng)用程序攻擊的最簡單方法之一。

您的托管服務(wù)提供商的角色

SQL 注入以 Web 應(yīng)用程序為目標(biāo)——嚴(yán)格來說，這不是您選擇的托管公司的優(yōu)先事項。然而，一個好的主機不僅僅是一個服務(wù)提供商。它是幫助您保持在線業(yè)務(wù)持續(xù)發(fā)展的合作伙伴，因此，它將盡一切努力確保您的網(wǎng)站得到盡可能好的保護(hù)。

例如，如果您的項目基于 CMS，您可能會擁有一鍵式安裝程序。除了在幾秒鐘內(nèi)設(shè)置 WordPress 等應(yīng)用程序外，該工具還具有核心和附加組件的自動更新功能 。

這樣，您就不會錯過任何重要的安全補丁。一個好的主機將幫助您部署Web 應(yīng)用程序防火墻，并且還將包括一個監(jiān)控系統(tǒng)，該系統(tǒng)會掃描您的整個主機帳戶以查找可疑行為，并在檢測到錯誤時通知您。

結(jié)論

盡管 SQL 注入在 20 多年前首次出現(xiàn)，但威脅仍然與以往一樣重要。2020 年 5 月，美國司法部指控一名黑客使用 SQL 注入竊取數(shù)千條信用卡詳細(xì)信息和其他個人信息。幾個月后，黑客利用 SQLi 攻擊從在線圖形資源網(wǎng)站 Freepik 竊取了超過800 萬條記錄。這是一個嚴(yán)重的威脅，但好消息是，多年來，安全專家已經(jīng)了解了很多關(guān)于 SQL 注入的知識?；谶@些知識，有許多工具和策略可以有效地阻止攻擊。由您選擇最方便的。