开发人员需要注意SQL注入

xman

2015年10月份，英国电话和宽带供应商TalkTalk，信息泄漏事件导致约15万人的敏感信息被暴露，涉案的最小黑客仅15岁，使用的便是SQL注入。

所谓SQL注入就是黑客在网站的提交表单数据中输入恶意命令从而获取数据的方法。它曾经被用来窃取世界卫生组织员工的信息，偷过华尔街日报数据，甚至还攻击过美国联邦政府机构。
SQL, 全称为结构化查询语言，是一种用来管理数据库的编程语言。本质上说，他就是被网站用来从数据库中提取一些数据来处理或者展示给用户的。

但是，当输入特定的命令时，会导致服务器泄漏信息。用户可能捎带一些自己的SQL语句。

在Phrack的1998年12月份期刊上，Forristal发表了微软的SQL server的一系列SQL注入的问题。当Forristal的同事们向微软反馈此问题时，“他们的回答是：好了，别闹了”，他写道，“他们说，你看到的都不是问题，所依别费心去处理了”

SQL注入发展到今天，已经过去了15年，在OWASP组织每三年发表一次的OWASP的Top 10问题上，SQL注入攻击经常坐上榜首的位置。OWSAP全称是开放式Web应用程序安全项目（Open Web Application Security Project），它是一个监控网站面临哪些安全威胁的非盈利性组织。

“SQL注入经常是第一威胁，主要反映在相关攻击事件的数量上，同时还有一些其他因素导致它如此频发，” Troy Hunt在Motherboard的一次电话采访中如是说道，Troy Hunt是攻击检测网站haveibeenpwned.com的创始人。

“当你访问一个网页时，你发出一个请求，然后渲染服务器返回的数据”， Hunt介绍，“举个例子，你看一篇新闻，在地址栏上使用id=‘1’来发出请求时，服务器返回编号为1的文章，把id改成2的时候，服务器返回编号为2的文章”

但是，“使用SQL注入攻击，攻击者可能会将ID字段改成一个其他什么东西，导致服务器做一些意料之外的事情”，Hunt继续说到，比如返回一些隐私数据。

一次攻击也许只返回一条或者一段信息，于是攻击者就“不断重复攻击，一次又一次，想干几次干几次，直到他们获取到所有数据为止”，Hunt说。

显然，这需要一段比较长的时间，所以，黑客一般会使用自动化工具。其中比较具有代表性的事Havij，“这是最流行的脚本小工具，因为它支持Windows操作系统，而且还有个图形界面”， Mustafa AI-Bassam通过在线聊天工具和Motherboard如此描述，他是一名安全研究员，同时还是一名LulzSec黑客组织的前成员。

另一个经常被用到的工具是 sqlmap 。“它可以爬取网站的页面，就像搜索引擎的爬虫，寻找网站中所有输入表单，然后提交一些可能导致MySQL语法错误的数据”， AI-Bassam继续介绍。

当攻击者找到一个攻击点，接下来就很容易自动化开搞了。

“他们会使用Google来搜索那些典型的容易受到SQL注入脚本攻击的URL”， AI-Bassam说。“他们还经常使用脚本来检查所有URL，用自动化的方法来试探是否存在漏洞”

“你甚至可以教一个4岁的孩子来做这种事情，AI-Bassam补充道，强调这整个过程简单到令人发指的地步。确实，Hunt就曾经上传过一个视频，视频上显示他是怎么教他3岁的儿子用Havij来实施SQL注入攻击的。

“你把要攻击的URL输入进来，然后所有数据就出来了”，Hunt向Motherboard介绍道。在YouTube上有太多教程来介绍如何实施SQL注入攻击了。

事实上，已经有很多解决方案被网站开发人员用来防止SQL注入攻击了和避免客户信息或者公司信息泄漏了。而且那些解决方案一经存在好几年了。

所有这些解决方案的核心都是采用“prepared statments” （预编译声明？）: 当SQL语句在数据库中执行是，绝对不能直接执行用户的输入。

如果这些解决方案直接有效，那为何SQL注入攻击还是这么猖獗呢？

“使用prepared staement的好处是它们可以从语义层面上杜绝任何在开发者意料之外的输入，这些输入可以通过构造一些SQL语法，让数据库查询语句从任意一张数据表中获取一条额外的数据”，Mike Schema在给Motherboard的一封email中如此说导，他是雅虎的一名高级经理、软件工程师。

另外一种做法是“使用SQL库对用户输入做一些净化操作”，AI-Bassam建议。简而言之，就是将输入中任何潜在的恶意部分去除掉。

那么，如果SQL注入如此简单，以至于小孩子都能用，而且解决方案又这么直接有效，为什么SQL注入攻击还这么猖獗呢？

“任何一名严谨的程序员都应该知道SQL注入攻击，但是仍然有大量的程序员缺乏经验，所以公司在雇佣某人的是偶，他可能没有受到过任何关于如何消除风险的训练”， AI-Bassam指出。除此之外，“他们的经理们往往只要求开发出能用的软件，而不是安全的软件”。

来自雅虎的Schema也认同这一点，并且补充“有些时候，一些小应用功能有限，要求很快就把东西做出来”，导致开发者经常忽略一些应对各种攻击的工作，尽管他们实施起来也不是很困难。

Hunt不是那么宽容，他也不认同所有的过错都来自于高层管理的压力。相反，他认为现在有网上有这么多教程详细的向开发人员讲解如何避免SQL注入攻击，对，是详细的教程，不仅仅是一些好的建议。“这些年，我看到很多有关如何避免明显的SQL注入风险的教程”，他说到。

随着互联网黑客们不停的在YouTube上分享他们的SQL注入攻击经验，网站的开发者们也没有闲着。“我们有能力的人站出来，分享他们的专业知识，而不仅仅是把自己的事情做好就行了”，Hunt说。

最后，这些网站的安全和他们的数据安全归根到底还是网站开发者自己负责的。这意味着SQL注入攻击和漏洞还会存在，至少在未来一段时间内不会消失。安全还是由开发者自己负责，不在于黑客不去攻击，自己开发的时候不注意，还是没办法避免被攻破的。

balala

一个SQL注入让玩了几十年了，花式注入