asp.net网站中sql注入攻击的分析与防范

《asp.net网站中sql注入攻击的分析与防范》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、ASP.NET网站中SQL注入攻击的分析与防范靳娜1,2（1、江南大学，江苏无锡2141222、江苏联合职业技术学院盐城生物工程分院，江苏盐城224051）摘要：SQL注入是ASP.NET网站中经常存在的一种漏洞，对后台数据库甚至是整个系统的安全造成了很大的隐患。木文主要分析SQL注入攻击的工作原理并提出了相应的防范措施。关键词：ASP.NET；SQL注入；攻击；防范措施1概述SQL注入对当前的Web系统安全问题造成了很大的隐患，因为大部分的Web系统都需要跟用户进行交互，即从客户端那里获取用户输入的数据：

2、而获取的数据将作为参数来构造SQL语句，并让后台数据库执行。如果攻击者故意设计恶意的SQL语句，骗取了服务器的执行，则可以成功获取用户信息，对后台数据库进行访问，若获取用户的权限较高，甚至可以对数据库进行修改或删除,造成非常严重的后果。木文主要介绍SQL注入攻击的方法，并给出常见的防范措施。2SQL注入的基木概念及原理SQL注入即英文SQLInjection。在Web应用系统中，客户端的用户页面通常含Web表单，来接收用户的输入信息，攻击者把特殊的符号或SQL命令插入到Web表单递交或输入域名或页面请求的查

3、询字符串，以此改变查询属性,后台服务器执行了被攻击者修改过的SQL语句，从而达到了攻击的目的。由于SQL注入是从正常的端口访问，和正常的Web用户访问没有什么区别，所以一般的防火墙不会对SQL注入发出警报，很难被管理员发现。2.1获取数据库结构信息。攻击者要实现SQL注入，首先要知道数据库中表的结构，即表的名称、表中字段的名称、字段的数据类型等信息，这样才能保证注入的SQL语句具有正确的语法。为了得到数据库的这些信息，攻击者通常会故意构造带有语法错误的SQL语句，Web系统执行后会返冋相应的错误提示信息，攻

4、击者可以从出错提示信息中得到表的信息，重复执行以上做法，综合多次错误提示信息既可以获取整个表的结构。在弄清数据库的结构信息后，就可以对数据库实施SQL注入攻击。2.2注入特殊符号。在SQL中“一一”为单行注释符号，在该符号后面的语句在执行吋将会被服务器忽略。攻击者经常使用该符号跳过数据库的验证,即便没有正确的用户名和匹配的密码也能够访问数据库，从而以终端用户甚至是管理员的身份对数据库进行操纵，达到攻击的0的。例如：在Web应用程序的登录贞面中，通常要对用户的用户名uname和密码upassword进行验证，

5、只冇该用户存在且密码匹配才能通过验证。假设数据库中存储用户信息的表为users,其中有一条记录，用户名为utest，密码为ulll。当用户在客户端的登录页面中输入正确的用户名和密码，则Web系统构造的SQL语句是：select*fromuserswhereuname=‘utest’andupassword=‘ulll’以上SQL语句执行后，如果有一条记录返回，则认为该用户是合法的，通过了认证。否则，说明该用户不存在或密码不正确，不能通过认证。正常情况下，以上操

6、作是没冇问题的，但如果攻击者故意设计具有攻击性的SQL语句，在用户名的文本框中输入以下内容：a’or‘l’=‘l’，在密码框中输入了111或其它任意密码，则上述SQL语句将会变为：select*fromuserswhereuname=‘a’or‘l’=‘l’‘andupassword=‘lll’。由于or语句中‘l’=

7、‘l’始终为真，所以条件uname=‘a’or‘l’=‘l’始终为真，而符号一一之后的语句被服务器理解为注释，该SQL语句可以得到用户表中所有用户的信息。由上可见攻击者通过在Web表单的输入文本框中注入特殊的符号，在不知道用户名和密码的情况下就可以通过身份验证，访问数据库信息。同样一个例子，在某一在电了商务系统中，输入商品的id号来查询产品信息，正确的SQL语句应为：select*fromgoodswherego

8、odid=‘1001’。goods为存放商品信息的表，goodid为商品的id号。以上语句则可以查询到商品id为1001的商品信息。如果攻击者在goodid的文本框中输入以下信息：1001‘or‘l’=‘l。则Web系统构造的SQL语句将变为：select*什omgoodswheregoodid=‘1001’or&ls