SQL Injection (資料隱碼) 簡介 主講人: 陳培德 成大電機所博士候選人 密碼與網路安全研究室 URL: http://crypto.ee.ncku.edu.tw Email: peder@crypto.ee.ncku.edu.tw

大綱 前言 什麼是SQL Injection 影響的系統 SQL Injection原理 SQL Injection攻擊 SQL 帳號設定

前言 在 1997 年以前國外電腦通信雜誌曾經披露此一弱點。 刑事警察局與新波科技公司合作， 4月23日公佈有關SQL Injection的調查，由於國內九成以上網站皆使用SQL資料庫系統，因此，經警方測試，研判國內八成以上的網站已面臨「資料隱碼」攻擊方式的嚴重威脅。

什麼是SQL Injection SQL Injection 應稱為 SQL 指令植入式攻擊，主要是屬於 Input Validation 的問題。目前被翻譯成『資料隱碼』攻擊。 SQL Injection攻擊法並非植入電腦病毒，它是描述一個利用寫入特殊SQL程式碼攻擊應用程式的動作。 換言之，只要提供給使用者輸入的介面，又沒有做到相當嚴密的輸入資料型態管制，就有可能會遭受這種行為的攻擊。

SQL Injection SQL Injection 的起因通常是因為程式利用字串建造方式執行。 利用正常查詢網站資料時，將攻擊資料庫的指令夾藏於網站查詢命令中。 攻擊者可穿透防火牆，繞過身分認證機制，取得資料庫使用權限，進而竊取資料或竄改、破壞資料庫。

影響的系統 影響的系統包括MSSQL、MySQL、Oracle、Sybase與DB2等。 Apache、IIS、Domino、Netscape的網站系統，透過ASP、PHP與JSP等程式碼，攻擊破壞各種SQL資料庫。 影響的系統包括MSSQL、MySQL、Oracle、Sybase與DB2等。

SQL Injection 攻擊成立的前提 輸入欄位沒有針對特殊符號進行過濾 查詢欄位沒有限制長度及內容 資料庫的權限過高 攻擊者猜測到資料欄位的部分資訊 ASP源碼洩漏的漏洞

ASP程式碼中可能內含資料庫之帳號密碼

注意！ 以下關於SQL Injection說明僅為教學講解之用，提供伺服器管理人員針對自身系統進行檢查之參考，若在未事先備份的情況下，造成資料庫系統損害，後果請自行負責 未經其它網站管理人員同意前，嚴禁惡意測試他人網站系統之安全性，否則造成任何法律糾紛皆自行負責

SQL Injection原理 一般輸入帳號密碼的網站的SQL語法 如果正常使用者帳號A123456789 ，密碼1234 select * from member where UID =' "& request("ID") &" ' And Passwd =' "& request("Pwd") & " ' 如果正常使用者帳號A123456789 ，密碼1234 select * from member where UID ='A123456789' And Passwd='1234' 輸入的帳號與密碼等資訊會取代ASP( or PHP、JSP)中的變數，並由兩個單引號(' ')所包住

SQL Injection原理 (cont.) select * from member where UID =' "& request("ID") &" ' And Passwd =' "& request("Pwd") & " ' 若攻擊者已知系統中已有一個Admin的管理者帳號，則輸入Admin '-- ，即可不須輸入密碼而進入資料庫 select * from member where UID =' Admin '-- ' And Passwd =' ' 註: -- 符號後的任何敘述都會被當作註解 (以上面為例，And子句將被SQL視為說明用)

select * from member where 正常連線狀態 網際網路 ID=A123456789 Passwd=1234 select * from member where UID ='A123456789' And Passwd='1234'

select * from member where SQL Injection攻擊 網際網路 ID=Admin' -- Passwd=1234 select * from member where UID = 'Admin' --' And Passwd= '1234'

select * from member where UID =' ' or 1=1 -- ' SQL Injection攻擊(範例一) 一旦惡意使用者輸入 使用者帳號' or 1=1 --，密碼asdf1234(任意輸入) select * from member where UID =' ' or 1=1 -- ' And Passwd = 'asdf1234'

select * from member where UID =' abcdefg ' SQL Injection攻擊(範例二) 一旦惡意使用者輸入 使用者帳號abcdefg (任意輸入) ， 密碼asdf (任意輸入) ' or 1=1 -- select * from member where UID =' abcdefg ' And Passwd = ' asdf ' or 1=1 -- '

SQL Injection攻擊(範例三) 若使用者輸入以下字串 SELECT * FROM myTable WHERE someText =' " & request.form("inputdata") & " ' 若使用者輸入以下字串 ' exec master..xp_cmdshell 'net user test testpass /ADD' -- WHERE someText ='' exec master..xp_cmdshell 'net user test testpass /ADD'-- ' 如此一來，便可在SQL伺服器上新增一個使用者test帳號(密碼testpass)

SQL Injection攻擊 其它的變化型 ' ;SHUTDOWN-- 停止SQL伺服器 ' ;DROP Database <資料庫名稱>-- 刪除資料庫 ' ;DROP Table <資料表名稱>-- 刪除資料表 ' ;DELETE FROM <資料表名稱>-- 刪除資料表 ' ;Truncate Table <資料表名稱>-- 清空資料表

SQL帳號設定 sa 權限 sa 權限就是可以管理所有資料庫權限，因此攻擊者就有可能讀取，寫入，甚至可以刪除所有 SQL 資料庫伺服器裡的資料。 造成影響 攻擊者可以得到 SQL Server 以及作業系統完整的控制。 攻擊者透過 xp_cmdshell 的延伸預存程序(extended stored procedure )能夠對 SQL Server 資料庫上的所有資料進行任意的存取動作， 甚至可以在SQL Server尚值入後門。

SQL帳號設定 (cont.) db_owner 權限 造成影響 攻擊者能夠對資料庫上的所有資料進行讀寫動作。 能夠刪除Table、建立新 Table、進而取得被影響資料庫的控制權。

SQL帳號設定 (cont.) normal user 一般使用者權限 (建議使用) 造成影響 攻擊者只能掌控被攻陷的那個使用者的資料庫 在比較好的情況下，攻擊者只能執行一些閱讀指令 在最差狀況下， 攻擊者也只能夠閱讀或寫入被攻陷的那個使用者的表格

如何防範SQL Injection 網頁程式撰寫方面 過濾輸入條件中可能隱含的sql指令，如INSERT、SELECT、UPDATE等 針對輸入條件進行規範，如無必要，應規範為僅可接受大小寫英文字母與數字等 針對特殊的查詢參數進行過濾，如--、 ' 等可利用replace(xx, " ' ", " ' ' ")進行替換 進行程式寫作時，應時常檢查程式是否存在有非預期輸入資料的漏洞。

如何防範SQL Injection (cont.) 資料庫管制方面 Sa管理帳號的密碼管控 刪除多餘的公開資料表(程式開發、範例等) 若無特殊必要，將其他使用者設定為一般使用者權限，以避免完整資料庫內容遭入侵 移除不必要但功能強大的延伸預存程序，如xp_cmdshell 、xp_regaddmultistring 、xp_unpackcab等

如何防範SQL Injection (cont.) 網站伺服器方面 定期修補作業系統與網站伺服器的漏洞 避免ASP、PHP與JSP程式源碼洩漏，造成使用者可以直接瀏覽 更改預設的網站虛擬路徑，如IIS系統不要使用預設的C:\Inetpub\WWWRoot\的目錄 不提供錯誤訊息給使用者 攻擊者可藉由回報的錯誤訊息得知資料庫的結構 建議將錯誤輸入重導到適當網頁 修改C:\WINNT\Help\iisHelp\common\500-100.asp的預設錯誤網頁

如何防範SQL Injection (cont.) 外部防護系統的控管 可藉由防火牆系統管制port 1433與1434的連線 藉由防火牆限制網路登入者的身份 藉由Host-based IDS或Application-based IDS來監控系統運作的執行

參考資料 The Open Web Application Security Project http://www.owasp.org/asac/input_validation/sql.shtml 新波科技http://www.diamondinfotech.com.tw/ 精誠公司安全通報http://www.sysware.com.tw/news/press/020424.shtml

參考資料 (cont.) 台灣微軟公司關於SQL Injection的相關報導 http://www.microsoft.com/taiwan/sql/SQL_Injection.htm http://www.microsoft.com/taiwan/sql/SQL_Injection_G1.htm SQL Server電子雜誌http://www.sqlserver.com.tw/