SQL注入攻击可能是黑客攻击面向互联网的SQL Server数据库最常用的方式。任何使用动态SQL、允许未经检验的用户输入提交到数据库的应用程序都面临SQL注入攻击的风险,无论你的网络有多安全,或者你安装了多少防火墙。最近有一项关于Web黑客攻击的报告显示,SQL注入攻击呈上升趋势,不仅仅导致数据盗窃和数据丢失,而且在最近一连串的自动注入攻击中,数据库被破坏,向用户提供恶意Java脚本。这种渗透导致Web服务器令客户端电脑感染上其它的病毒。报告对于已经遭到攻击的网站数量统计不一,不过,哪怕是最低的数字都上万。在感染的高峰期,甚至联合国的网站也无法幸免。
你可能会认为SQL Server平台既然这么不安全,不如考虑更换平台。但事实上,所有的数据库平台都受到这种攻击的困扰。由于在主机环境中更多部署的是SQL Server,所以,针对SQL Server的攻击也就相应更为普遍。开发人员进行网页开发工作,他们不知道如何防范这样的攻击。由于这种攻击的成功率很高,所以,在恶意软件的社区内颇为流行。
SQL注入攻击是如何工作的?
容易遭受SQL注入攻击的Web应用程序具有以下特点:
1.你的网站使用动态SQL。这不是指应用程序动态生成select或者insert语句。它是指任何代码是动态生成的,包括应用程序在执行语句之前,动态生成一个存储过程。
2.当从客户端应用程序取值的时候,这些值没有经过验证——也可能没有对语法或者转义符进行验证。
SQL注入攻击是这样进行的:攻击者修改现有命令行,通过在字符串值内插入一个单引号,或者在数字后面添加分号,在转义符后面写入SQL语句。命令行看上去类似这样:
exec sel_CustomerData @CustomerId=47663; truncate TABLE Customer
这样会执行sel_CustomerData过程,然后运行truncate TABLE命令,删除Customer数据表的内容。如果有Foreign Key约束这个数据表,数据库将会返回错误,向黑客提供受约束的数据表名称。一名聪明的黑客可以利用这个技巧,查找到数据库里面每一个表的名称。然后,黑客能够将数据插入你的数据库,或者从你的表中选择数据(取决于数据库给了应用程序什么样的权限)。当黑客获取了数据表中的数据,就可以使用xp_sendmail或sp_send_dbmail向他们自己发送电子邮件。即使你已经禁用这些过程,黑客可以轻易启用这些过程,或者使用sp_OA过程添加他们自己的过程。
如何确保SQL Server数据的安全,避免SQL注入?
有多种办法可以保护你的数据库,避免这样的攻击。
首先,我们需要采用数据库安全的最佳实践方法加固数据库安全。这包括将数据库的操作许可设置为最低级别(setting up the database security with the lowest set of permissions possible.)。同时,应用程序不要直接访问数据表。所有对数据表的访问应该通过存储过程进行,而且那些存储过程不应该包括任何动态SQL。
避免对表的直接访问,你可以很大地减少受攻击的层面。但是,这并不是唯一必须做的事情。存储过程也存在受到攻击的可能性。虽然对存储过程进行攻击需要花费更多的时间,但是,仍然有可能利用你的存储过程对数据库进行破坏。存储过程就是用来向数据库中插入、更新和删除数据。一个聪明的黑客可以利用你自己的存储过程攻击你。
这是需要应用开发人员和你共同工作的方面,以确保被执行的代码(the code being executed against the database)是安全的。如果不确保应用层的安全,防范SQL注入攻击,其他的工作都将是徒劳的。数据只要进入数据库,基本上不可能在数据库内进行验证。这需要在应用层对数据进行验证。