如何自动测试网站的 SQL 注入漏洞

Question

这是一个基本计划。我很高兴能够取得任何类似成功的成果，这是一个 Uni 项目。伪代码很棒。

1. 抓取网站。
2. 在每个页面上搜索表单。
3. 提交每份表格而不填写详细信息将导致失败。
4. 在表单的第一个字段中填写“--”。
5. 提交表格并将响应与失败（由 3 引出）进行比较。
6. 如果响应（由 5 引发）不同（与失败），则假设存在漏洞。
7. 如果相同（响应 = 失败），则返回到 4，但移至下一个字段。
8. 如果没有更多字段，请移至另一页。

...

但是，6. 显然既是应用程序的关键部分又是错误的。例如，页面可能会像这样响应

Error: '-- is not a valid user name.

在第 4 阶段中的位置。响应是

Error:  is not a valid user name.

或

Error: username must be a minimum of 6 characters.

Answer 1

看起来在 (4) 处，您想首先尝试发送一些良性值，以便您可以看到在正常情况下返回的页面类型。

例如，生成一个随机的三字母“用户名”并提交。您可能会收到类似“错误：bfw 不是有效的用户名”的响应。或“错误：用户名太短”。

完成此操作后，您可以发送尝试 SQL 注入的字符串，看看结果是否有本质上的不同。因此，如果您发送 '-- 并获得与发送随机良性“用户名”时相同的结果，则它可能不易受到攻击。另一方面，如果您收到的响应不同，并且包含类似“警告，您的 SQL 第 1 行有错误...”之类的文本，那么它可能容易受到攻击。 （不过，它不必发出警告让您断定它容易受到攻击。即使是通用错误页面，如果它与您从良性数据获得的响应有很大不同，也可能表明存在漏洞。）

Answer 2

Justin Clarke 的“SQL 注入攻击和防御”。

提供了许多测试来发现和确认 SQL 注入漏洞，这是我对第 65 页的总结。

错误触发

“发送 ' 或 '-- 并期望接收错误。”

错误消息或 500 服务器错误表明存在漏洞。整齐地包含 ' 或 '-- 的响应（如用户 ' 或 '-- 不可用）密码...）可能不容易受到攻击，除非它是堆栈跟踪。

始终为 true 条件

“发送 1' 或 '1'='1 或 1') 或 ('1'='1 并期望收到 当响应代码为 200 并且响应中未收到攻击字符串时，可以假定站点

存在漏洞。包含单词“error”或攻击字符串的页面表明存在抵抗力，就像500.

没有条件

“发送 value” 或 '1'='2 或 value') 或 ('1'='2 并期望易受攻击的应用程序就好像它只收到值一样进行响应。"

始终为 false 条件

"1' 和 '1'='2 或 1' ) 和 ('1'='2。如果成功，则不会从表中返回任何行。"

Microsoft SQL Server 连接

"1' 或 'ab'='a '+'b 或 1') 或 ('ab'='a'+'b。如果成功，则返回相同
信息作为始终为真的条件"

MySQL 连接

"1' 或 'ab'='a' 'b 或 1') 或 ('ab'=' a' 'b 如果成功，则返回相同的结果。
信息作为始终为真的条件"

Oracle 连接

"1' 或 'ab'='a'||'b 或 1') 或 ('ab' ='a'||'b 如果成功，则返回相同的结果。
信息作为始终真实的条件”

本书中包含了更多示例。