常见的漏洞--sql注入

（由于要找工作了，所以决定整理一下常见漏洞的知识，以下通过借鉴一些大佬的文档或者博客从而整合，当然也包括一些以往自己的经验。菜鸟一个，请各位大哥指点。）

🌟含义：Sql注入是代码注入，插入到web表单以及一些查询字符串，由于如果没有合适的过滤，则使得恶意的sql语句被插入输入字段中执行。

🌟一般思路：寻找可以注入的点，判断数据库类型 ，针对其特点尝试sql注入

🌟分类：

按照注入类型：一阶sql注入，二阶sql注入

按照执行效果的分类：布尔盲注（根据返回页面判断真假的注入），

时间盲注（根据返回页面的时间是否增加判断注入，例如mysql中的benchmark（count，expr）函数，sleep（5）函数），

报错注入（页面会返回错误的信息，或者将注入语句的结果直接返回在页面中，例如updatexml，extractvalue）

（盲注一般时间成本高，优化方式：二分法，利用字母频率统计）

根据注入点类型： 数字型注入点 字符型注入点 搜索型注入点（指在进行数据搜索时候没有过滤搜索参数）

根据数据提交的方式来分类：GET注入（GET参数部分）POST注入 HTTP头部注入（user_agent，cookie等字段）

🌟SQL注入常用的一些技巧与函数：

1）ascii(substring((select user from admin limit 0,1),1,1))>64利用这种方式来确定数据库中的一些字段内容

类似函数：left() right() substring() mid() substr()

ascii（str1) 返回字符串str的最左面字符的ASCII代码值。如果str是空字符串，返回0。如果str是NULL，返回NULL

substring(str,pos,len)  例如substring（字符串，1，1）从第一个数开始数一个数（即第一个数本身）

mid(str,pos,len) 例如mid（字符串，1 ，1）

mid（str，pos，len）是substring（str，pos，len）的同义词。 参数从1开始，不从0开始。

substr(str,pos,len) 例如substr（字符串，1，1）从第一个数开始取一个数（即第一个数本身）

这种表示的意思是，就是从pos开始的位置，截取len个字符(空白也算字符)。 

Left(str, len) 此函数返回str字符串中最左边的长度字符。

right(str, len) 此函数返回str字符串中最右边的长度字符。

2）id=1 and 1=2 UNION SELECT 1,IF((substring((select user from admin limit 0,1),1,1)=CHAR(65)), BENCHMARK(5000000000, md5('12345')),null) 利用此进行时间盲注，如果条件真，则执行benchmark函数，如果为假，则无行为。

3）select table_name from information_schema.TABLES where table_schema=database() 注入获得表名

4）select column_name from information_schema.columns where table_name=XXX注入获得数据库/表名

🌟sql注入的工具：

sqlmap

sqlmap支持的数据库：mysql、oracle、postgresql、microsoft SQL Server、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase 、SAP MaxDB

get方式：sqlmap -u "http:xxxx/index.php?uid=1”

Post方式：sqlmap -u "http:xxxx/index.php” —data=“id=1”

Cookie方式：sqlmap -u “http:XXX/index.php” —cookie=“id=1”

—dbs数据库

—current-db现在的数据库

—current-user 现在的用户

🌟二阶SQL注入：

二次注入是攻击者构造的恶意数据存储在数据库后，恶意数据被读取并进入到sql查询语句所导致的注入。

分为两步：1）插入恶意数据，进行数据库插入数据时，对其中的特殊字符进行了转义处理，在写入数据库中又保留了原来的数据。

2）引用恶意的数据，开发者默认了存储在数据库中的数据都是安全的，在查询的时候，直接从数据库中取出恶意数据，没有进行进一步的检验的处理。

例子：比如攻击者A注册用户admin’— ，但是因为转义并不会执行，会存入数据库中，攻击者修改密码的时候，会调用数据库中的信息，而没有过滤，所以修改的实际是admin用户的密码，则可以实现攻击。

🌟防止sql注入的方式：

1.使用预编译语句（最佳方式）

（jsp）prepared statement （php）php-mysqli

采用预编译语句集，它内置了处理SQL注入的能力，只要使用setXXX方法传值就可。

因为prepared statement已经处理好了，执行阶段就是把输入串作为数据处理，而不是对sql语句进行解析。

辅佐程序员对用户输入进行严格处理

2.不要随意开启生产环境中的webserver的错误显示

3.严格区分管理员与普通用户的权限

4.严格过滤用户的输入

1）严格查找sql语句中的关键字

2）对用户的输入内容的大小以及数据类型强制执行适当的转换和限制

3）利用安全函数处理用户输入

4）拒绝包含转义序列以及注释字符的输入内容

5）测试用户的输入，只接受需要的参数

🌟如何黑盒挖掘SQL注入：

1）寻找SQL注入可能存在的点

利用AWVS扫目录，或者利用python爬虫，或者利用robots协议，寻找动态页面或者伪静态页面；寻找可能存在的注入参数，如get、POST、cookie。

2）通过手工构造payload查看是否存在注入漏洞。

3）如果存在可以利用sqlmap跑一下，也可以自己手工注入，或者写个脚本。