SQL注入测试详解

一、基本概念

1、SQL注入是指攻击者利用Web应用程序中存在漏洞，向后台数据库提交恶意SQL指令进行攻击的行为。

2、攻击者可以通过SQL注入获取数据库敏感信息、篡改、删除数据，甚至直接控制后台服务器。

3、SQL注入发生的主要原因是Web应用程序没有对用户的输入进行充分的验证和过滤。

二、常见攻击方法

1、注入攻击 – 用户输入的参数没有经过转义处理，那么攻击者可以通过输入的参数进行SQL攻击，造成应用程序漏洞和后台数据库数据泄漏。

// PHP代码示例
$userId = $_GET['userId'];
$sql = "SELECT * FROM users WHERE user_id = '$userId'";
...

2、盲注攻击 – 在Blind SQL注入中，攻击者能否成功执行SQL语句并不取决于错误信息的显示，而是取决于攻击者自己构造的语句本身，属于一种较为复杂的攻击方式。

// PHP代码示例
$username = $_GET['username'];
$sql = "SELECT * FROM users WHERE username = '$username' AND password = '$password'";
...

3、堆叠注入攻击 – 在SQL注入中，堆叠注入（stacked injection）指的是恶意用户在串联SQL查询时，使用分号（;）来绕过限制，插入额外的查询。

// PHP代码示例
$productId = $_GET['productId'];
$sql = "SELECT * FROM products WHERE product_id = '$productId';DELETE FROM orders WHERE product_id = '$productId'";
...

三、测试方法

1、单引号测试 – 在用户输入参数中添加单引号，如果Web应用程序没有进行转义，会导致语句异常执行。

productId=1'
SELECT * FROM products WHERE id = '1''

// 查询的结果将是错误的

2、注释测试 – 在SQL语句中添加注释会绕过转义，攻击者可以插入执行恶意代码。

productId=1--
SELECT * FROM products WHERE id = 1 -- '
// 查询的结果将是正确的
productId=1' LIMIT 1--

3、UNION测试 – UNION是SQL中的查询操作，攻击者可以利用UNION来合并表并检索非授权的数据。

productId=1' UNION SELECT 1,2,3 --
// 查询的结果将包括1,2,3

4、布尔测试 – 通过判断结果真假来判断是否存在漏洞。

productId=1' AND (SELECT COUNT(*) FROM users) = 1 --
// 查询的结果为真，则存在漏洞

5、错误测试 – 利用SQL错误信息暴露服务端缓存。

productId=1' AND 1=2 UNION SELECT 1,2,3 FROM products WHERE productId GROUP BY CONCAT((SELECT COUNT(*) FROM information_schema.tables LIMIT 0,1),FLOOR(RAND(0)*2)) HAVING MIN(0)#
// 查询的结果将返回错误信息，包含数据库版本和相关信息

四、防御措施

1、输入验证和过滤 – 对用户输入的参数进行前端、后端以及数据库层面的检查和转义处理，确保用户输入数据的安全性。

2、使用参数化查询 – 使用参数化查询语句，即通过占位符直接传递参数，避免了SQL的字符串拼接，从而避免了SQL注入。

3、最小化权限 – 后端数据库用户的最小化权限，即所需即所得，可以减小后端SQL注入攻击的风险。

4、防护设备 – 在Web应用程序和数据库服务器之间，添加WAF（Web应用程序防护）设备进行拦截，可以有效防止各种类型的攻击。