小心你的WEB应用程序成为数据窃贼的帮凶(4)

在很多情况下，攻击者能够完全控制SQL服务器的底层操作系统；攻击者甚至可以接管Web应用程序，并最终接管Web服务器。

接管数据库服务器可以导致损害其它的应用程序，甚至损害DMZ中的其它服务器。现代的Web应用程序架构一般都有数据库集群，与其它系统共享数据存储，或者位于网络中不太安全的地方。如果攻击者考虑到这个方面，他就可以使用前面提到的方法绕过防火墙中一般的IP源过滤规则，从而攻击内部网络，甚至还可以使用SQL服务器来存储病毒、黄色图片或其它非法内容。

此外，通过首先接管数据库服务器，攻击者可以篡改Web应用程序的行为。通常，这种行为包括借助Web服务器的服务账户在本地服务器上运行命令。如果服务账户有了被提升的特权，攻击者就可以通过数据库服务器，将命令直接发送给Web服务器的操作系统。

有时，数据是根据计划例程从DMZ数据库服务器析取出来的。如果通过公司Intranet（内联网）中的Web接口来查看数据，情况就更危险，因为多数内联网的Web应用程序在运行时，其信任等级更高。

不要小看盲目攻击

通常，控制框架会把SQL错误搞得不易分辨，如Java或.NET框架。有时，这些错误是由错误处理代码自动处理的，或者是由底层的代码解释程序处理的。例如，攻击者可以使用撇号（‘）而不是合法的输入：

wangzhan.com/userdetail.asp?username=‘

其结果为：用户未找到。

这就告诉我们，Web应用程序正在正确地检查用户输入，或者是程序框架正在阻止显示明显的错误消息。在这种情况下，执行SQL注入就变得困难了，但并不是不可能。这就引出了下一种攻击：盲目SQL注入。

盲目SQL注入攻击是如何工作的呢？它要查看数据库服务器是否真正地处理请求，或者查看该请求是否会触发来自Web服务器或SQL服务器的其它响应。

例如，我们已经看到了能够向我们提供张三（Zhangsan）用户细节的请求，能够看出该攻击是否成功。不过，“WAITFOR DELAY”命令要求SQL服务器在用查询结果响应之前，先暂停一分钟。

wangzhan.com/userdetail.asp?username=zhangsan;WAITFOR DELAY ‘0:1:0’—

如果网站能够正确地处理用户输入，它应当返回一个消息，说明找不到用户，或者发出其它的通知，说明“zhangsan；WAITFOR DELAY ‘0:1:0’--”不是一个合法用户。

必须指出，只有在将用户名变量的值被提交给SQL服务器时，并且Web应用程序能够正确地处理用户名变量的值时，才会出现这种情况。

传统的SQL注入将会返回错误，让用户知道有关查询失败的原因的细节。从本质上讲，盲目SQL注入依赖的是一种来自服务器的布尔逻辑响应（是/否，真/假等）：查询请求要么被处理，要么遭遇失败。盲目SQL注入攻击一旦得以发现，它就会提供与典型的SQL注入一样的功能，但它更难以执行，为了获取信息也需要更多的时间。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]