无错 – 第四个字段是字符串类型
攻击者现在就已获得了每一列的数据类型,盲注还能够被应用于从数据库的表中获取数据,比如获得
数据表的列表连同他们各自的列名,还能够从应用程式中获得数据,而这些技术在其他一些关于SQL注入的
论文中已有讨论,故本文不再继续介绍。
5 总结
本文综述了现在在SQL盲注攻击方面的技术发展,阐明了在错误信息即使被屏蔽的情况下,SQL注入漏
洞仍然能够被利用。即使已采取了很多措施来隐藏和掩饰返回给用户的信息,使用本文介绍的技术,很多
应用程式仍然能够被注入利用。这就表明应用程式级别的漏洞,仅仅依靠对服务器的基本配置做一些改变是
不能够解决的,必须从提高应用程式的研发人员的安全意识入手,加强对代码安全性的控制,在服务端正式
处理之前对每个被提交的参数进行合法性检查,以从根本上解决注入问题。
References:
[1] Microsoft China Technology Center, SQL Server 安全回顾, http://www.microsoft.com/china/ctc/Newsletter/04/ctc2.htm, 2004.
[2] Anley, C., Advanced SQL Injection In SQL Server Applications, http://www.ngssoftware.com/papers/advanced_sql_injection.pdf,
An NGSSoftware Insight Security Research (NISR) Publication, 2002
[3] Kost S., Introduction to SQL Injection Attacks for Oracle Developers, (C)Integrigy Corporation,
http://www.net-security.org/dl/articles/IntegrigyIntrotoSQLInjectionAttacks.pdf, 2004.
[4] Anley, C., (more) Advanced SQL Injection, http://www.ngssoftware.com/papers/more_advanced_sql_injection.pdf,
An NGSSoftware Insight Security Research (NISR) Publication, 2002
[5] Cerrudo, C., Manipulating Microsoft SQL Server Using SQL Injection, 2002
http://www.appsecinc.com/presentations/Manipulating_SQL_Server_Using_SQL_Injection.pdf.
[6] Spett, K., SQL Injection - Are your web applications vulnerable?, 2002
http://www.spidynamics.com/papers/SQLInjectionWhitePaper.pdf
