SQL Server 与 MySQL - 经典 ASP 中的 SQL 注入漏洞

Question

最近，我们的一个客户网站由于未能清理提供给页面的查询字符串参数而遭受 SQL 注入攻击。易受攻击的代码已经被识别出来并正在被纠正，但这让我想知道 MySQL 和 SQL Server 处理多查询字符串的方式之间的一些差异。

该漏洞代码被用于数十个网站，其中两个网站运行在 SQL Server 上，其余网站运行在 MySQL 上。使用这段代码，我们以前从未遭受过注入攻击（感谢上帝的恩典），但是一旦我们发布了在 SQL Server 上运行的两个网站（具有相同的代码库），该网站很快就被利用了。注入的方法非常简单：

page.asp?param=1;delete from [some_table];

正如我所说，易受攻击的代码在许多网站上共享，但如果我尝试执行相同的代码我们的 MySQL 站点上的注入类型 ASP 会抛出一个很好的服务器错误，让我们知道查询中存在错误：

SELECT * FROM Table1 WHERE ID = 1;DELETE FROM TABLE1;

进一步测试这一点能够验证当 ADODB.Connection 对象调用 Execute("") 时，MySQL ODBC 3.51 驱动程序不允许在同一语句中执行两个 SQL 查询，而 SQL Server Native Client (10.1) 则没有任何问题运行两个并行查询。事实上，这是否只是提供程序的一种配置，使得 SQL Server 容易受到这种方式的攻击，而 MySQL 却不会，还是这源于其他地方？

Answer 1

默认情况下，MySQL 客户端 API 不允许多重查询。您必须显式启用此功能，否则在尝试执行您所看到的查询时会出现错误。这对于降低 SQL 注入攻击的风险是一件好事。

MySQL ODBC 驱动程序 3.51.18（2007 年 8 月）添加了对连接选项 FLAG_MULTI_STATEMENTS 的支持，以启用多语句。请参阅 http://dev.mysql .com/doc/refman/5.1/en/connector-odbc-configuration-connection-parameters.html。

另请参阅 http://bugs.mysql.com/bug.php?id=7445< /a> 查看此选项的历史记录。

另请参阅我对“Mysql 更改分隔符以获得更好的 SQL 的回答注入处理？”请注意，多语句只是获得 SQL 注入漏洞的一种方法。禁用多语句并不能 100% 防止这些缺陷。

Answer 2

SQL Server 的一个特性是它支持一行上的多个语句。解决方案与其说是清理输入，不如说是使用参数化查询或存储过程。如果查询是

SELECT * FROM Table1 WHERE ID = @id

然后传递“1;DELETE FROM TABLE1;”将会产生错误，因为这不是有效的整数值。

Answer 3

我认为发生这种情况是因为 SQL Server 支持 MARS。据我了解MySQL不支持这个。 Mars 是一个很好的功能，可以加快数据库查询速度，从而减少往返次数。你可以在一条sql语句中放置多个查询。

Answer 4

无需堆叠查询即可利用 SQL 注入。一种非常常见的方法是使用“Union Select”
这是我编写的一个 mysql 注入漏洞，它使用 union select：
http://milw0rm.com/exploits/3002
union select 允许您在其他语句中创建 select 语句：
select 1 union select Password from mysql.user

您还可以进行子选择：
插入某个表 (some,col,id) 值 ((从 mysql.user 选择密码),1,1)-- )

盲 SQL 注入适用于所有平台，但是根据数据库的不同，漏洞利用会有所不同。这是针对 mysql 的盲目 SQL 注入漏洞：”
milw0rm.com/exploits/4547

这是一篇关于 MySQL SQL 注入主题的非常好的论文：
www.ngssoftware.com/papers/HackproofingMySQL.pdf