请描述一个你曾经挖掘的Web应用SQL注入漏洞,包括漏洞发现过程、利用方式以及编写POC的思路。分析该漏洞对系统的影响,并说明如何修复。
答案
1) 【一句话结论】:假设某Web应用在用户登录模块的用户名和密码验证环节,因对输入参数未做有效转义,导致SQL注入漏洞,可绕过身份验证,获取未授权访问权限。
2) 【原理/概念讲解】:老师口吻解释,SQL注入的核心是输入参数被错误地拼接进SQL语句,导致恶意SQL代码被执行。比如,正常情况下,用户名和密码通过SQL查询验证,但若代码写成SELECT * FROM users WHERE username='input_username' AND password='input_password',当用户输入' or 1=1 --时,SQL变为SELECT * FROM users WHERE username='' or 1=1 -- AND password='...',逻辑为“用户名为空或1=1(真)再减去注释”,结果为真,绕过验证。类比:就像把用户输入当成SQL命令的一部分,相当于把别人的话当成指令执行,导致系统执行了不该执行的查询。
3) 【对比与适用场景】:
| 特性 | SQL注入 | XSS(跨站脚本) |
|---|---|---|
| 目标 | 数据库 | 浏览器客户端 |
| 攻击方式 | 恶意SQL语句注入 | 恶意脚本注入 |
| 影响 | 数据泄露、权限提升、系统破坏 | 用户会话劫持、信息窃取、页面篡改 |
| 检测方式 | SQL报错、时间盲注、报文盲注 | 代码审查、输入过滤、内容安全策略 |
| 常见位置 | 登录、搜索、参数化查询的输入框 | 注入点在页面内容、表单、URL参数 |
| 注意点 | 需要数据库信息(如版本、列数) | 需要用户访问页面 |
4) 【示例】:Web应用登录页面(伪代码):
- 用户名输入框:
<input type="text" name="username"> - 密码输入框:
<input type="password" name="password"> - 服务器端代码(错误实现):
# 假设Python代码,错误拼接SQL query = f"SELECT * FROM users WHERE username='{username}' AND password='{password}'" result = db.execute(query) if result: # 登录成功 return "登录成功" else: return "用户名或密码错误" - 测试输入:用户名输入
' or 1=1 --,密码任意,结果返回“登录成功”,说明存在注入。
5) 【面试口播版答案】:(约80秒)
“我之前挖掘过一个Web应用的SQL注入漏洞,具体是在用户登录模块。发现过程是通过测试用户名和密码输入框,输入特殊字符(比如单引号)观察页面响应,发现登录失败后,尝试构造' or 1=1 --,页面显示登录成功,确认存在注入。利用方式是绕过身份验证,直接获取管理员权限。编写POC时,构造请求参数,比如POST请求携带username=' or 1=1 --'和任意密码,模拟登录。漏洞影响是用户可以绕过认证,访问敏感页面,甚至修改数据。修复方案是将用户输入参数进行SQL转义,比如使用参数化查询(预编译语句),避免拼接。比如用Python的psycopg2库的execute方法,传入参数列表,而不是拼接字符串,这样输入不会被当作SQL代码执行。”
6) 【追问清单】:
- 问:你是如何确认这个注入点不是基于报文的?比如时间盲注?
回答要点:通过字符注入(直接返回结果)确认,因为构造' or 1=1 --能直接绕过验证,说明是字符型注入,不需要时间判断。 - 问:如何绕过WAF(Web应用防火墙)?比如注入时添加干扰字符?
回答要点:可以尝试绕过方法,如使用编码(URL编码、HTML实体编码)、使用不同注入语句(如' or 1=1 --'的变体,或基于报文的方法,但这里主要是字符注入,可能需要调整输入,比如' or 1=1 --'加上空格或换行,或使用更隐蔽的注入语句。 - 问:漏洞的修复方案是否考虑了所有可能的输入位置?比如除了登录,还有搜索框?
回答要点:修复时需要检查所有参数化查询的输入点,包括搜索、过滤等,确保所有用户输入都通过参数化处理,避免拼接。 - 问:如果数据库有多个列,如何确定注入的列和值?比如列名或列数?
回答要点:可以通过注入语句获取列数(如' or 1=1 -- and (select count(*) from users) > 0 --),然后逐列测试,确定列名(如' or 1=1 -- and (select column_name from information_schema.columns where table_name='users') > 0 --),逐步获取信息。 - 问:修复后如何验证漏洞是否被完全消除?比如测试所有输入点?
回答要点:修复后需要全面测试,包括所有用户输入参数,使用自动化工具扫描,以及手动测试特殊字符,确保没有遗漏。
7) 【常见坑/雷区】:
- 坑1:混淆注入类型,误将字符注入说成时间盲注,导致解释不清晰。
- 坑2:POC编写错误,比如构造的注入语句无法绕过验证,因为服务器端有过滤,但未说明过滤逻辑。
- 坑3:影响分析不准确,比如认为只是登录绕过,但实际可能影响数据库操作(如修改数据),未考虑更严重的后果。
- 坑4:修复方案不具体,比如只说“用参数化查询”,但未说明具体实现方法(如预编译语句的库或框架)。
- 坑5:忽略WAF的影响,未说明如何绕过或修复后如何应对WAF,显得不全面。