在线观看www成人影院-在线观看www日本免费网站-在线观看www视频-在线观看操-欧美18在线-欧美1级

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

SQL注入把系統搞掛了該怎么處理?

數據分析與開發 ? 來源:數據分析與開發 ? 作者:數據分析與開發 ? 2021-03-03 15:00 ? 次閱讀

最近我在整理安全漏洞相關問題,準備在公司做一次分享。恰好,這段時間團隊發現了一個sql注入漏洞:在一個公共的分頁功能中,排序字段作為入參,前端頁面可以自定義。在分頁sql的mybatis mapper.xml中,order by字段后面使用$符號動態接收計算后的排序參數,這樣可以實現動態排序的功能。

但是,如果入參傳入:

id; select 1 --

最終執行的sql會變成:

select * from test1 order by id; select 1 -- limit 1,20

--會把后面的limit語句注釋掉,導致分頁條件失效,返回了所有數據。攻擊者可以通過這個漏洞一次性獲取所有數據。

動態排序這個功能原本的想法是好的,但是卻有sql注入的風險。值得慶幸的是,這次我們及時發現了問題,并且及時解決了,沒有造成什么損失。

但是,幾年前在老東家的時候,就沒那么幸運了。

一次sql注入直接把我們支付服務搞掛了。

1. 還原事故現場

有一天運營小姐姐跑過來跟我說,有很多用戶支付不了。這個支付服務是一個老系統,轉手了3個人了,一直很穩定沒有出過啥問題。

我二話不說開始定位問題了,先看服務器日志,發現了很多報數據庫連接過多的異常。因為支付功能太重要了,當時為了保證支付功能快速恢復,先找運維把支付服務2個節點重啟了。

5分鐘后暫時恢復了正常。

我再繼續定位原因,據我當時的經驗判斷一般出現數據庫連接過多,可能是因為連接忘了關閉導致。但是仔細排查代碼沒有發現問題,我們當時用的數據庫連接池,它會自動回收空閑連接的,排除了這種可能。

過了會兒,又有一個節點出現了數據庫連接過多的問題。

但此時,還沒查到原因,逼于無奈,只能讓運維再重啟服務,不過這次把數據庫最大連接數調大了,默認是100,我們當時設置的500,后面調成了1000。(其實現在大部分公司會將這個參數設置成1000)

使用命令:

set GLOBAL max_connections=500;

能及時生效,不需要重啟mysql服務。

這次給我爭取了更多的時間,找dba幫忙一起排查原因。

他使用show processlist;命令查看當前線程執行情況:

6a3e9ed4-7b71-11eb-8b86-12bb97331649.png

還可以查看當前的連接狀態幫助識別出有問題的查詢語句。

id 線程id

User 執行sql的賬號

Host 執行sql的數據庫的ip和端號

db 數據庫名稱

Command 執行命令,包括:Daemon、Query、Sleep等。

Time 執行sql所消耗的時間

State 執行狀態

info 執行信息,里面可能包含sql信息。

果然,發現了一條不尋常的查詢sql,執行了差不多1個小時還沒有執行完。

dba把那條sql復制出來,發給我了。然后kill -9 殺掉了那條執行耗時非常長的sql線程。

后面,數據庫連接過多的問題就沒再出現了。

我拿到那條sql仔細分析了一下,發現一條訂單查詢語句被攻擊者注入了很長的一段sql,肯定是高手寫的,有些語法我都沒見過。

但可以確認無誤,被人sql注入了。

通過那條sql中的信息,我很快找到了相關代碼,查詢數據時入參竟然用的Statment,而非PrepareStatement預編譯機制。

知道原因就好處理了,將查詢數據的地方改成preparestatement預編譯機制后問題得以最終解決。

2.為什么會導致數據庫連接過多?

我相信很多同學看到這里,都會有一個疑問:sql注入為何會導致數據庫連接過多?

我下面用一張圖,給大家解釋一下:

6a539a5a-7b71-11eb-8b86-12bb97331649.png

攻擊者sql注入了類似這樣的參數:-1;鎖表語句--。

其中;前面的查詢語句先執行了。

由于--后面的語句會被注釋,接下來只會執行鎖表語句,把表鎖住。

正常業務請求從數據庫連接池成功獲取連接后,需要操作表的時候,嘗試獲取表鎖,但一直獲取不到,直到超時。注意,這里可能會累計大量的數據庫連接被占用,沒有及時歸還。

數據庫連接池不夠用,沒有空閑連接。

新的業務請求從數據庫連接池獲取不到連接,報數據庫連接過多異常。

sql注入導致數據庫連接過多問題,最根本的原因是長時間鎖表。

3.預編譯為什么能防sql注入?

preparestatement預編譯機制會在sql語句執行前,對其進行語法分析、編譯和優化,其中參數位置使用占位符?代替了。

當真正運行時,傳過來的參數會被看作是一個純文本,不會重新編譯,不會被當做sql指令。

這樣,即使入參傳入sql注入指令如:

id; select 1 --

最終執行的sql會變成:

select * from test1 order by ‘id; select 1 --’ limit 1,20

這樣就不會出現sql注入問題了。

4.預編譯就一定安全?

不知道你在查詢數據時有沒有用過like語句,比如:查詢名字中帶有“蘇”字的用戶,就可能會用類似這樣的語句查詢:

select * from user where name like ‘%蘇%’;

正常情況下是沒有問題的。

但有些場景下要求傳入的條件是必填的,比如:name是必填的,如果注入了:%,最后執行的sql會變成這樣的:

select * from user where name like ‘%%%’;

這種情況預編譯機制是正常通過的,但sql的執行結果不會返回包含%的用戶,而是返回了所有用戶。

name字段必填變得沒啥用了,攻擊者同樣可以獲取用戶表所有數據。

為什么會出現這個問題呢?

%在mysql中是關鍵字,如果使用like ‘%%%’,該like條件會失效。

如何解決呢?

需要對%進行轉義:\%。

轉義后的sql變成:

select * from user where name like ‘%\%%’;

只會返回包含%的用戶。

5.有些特殊的場景怎么辦?

java中如果使用mybatis作為持久化框架,在mapper.xml文件中,如果入參使用#傳值,會使用預編譯機制。

一般我們是這樣用的:

《sql id=“query”》

select * from user

《where》

name = #{name}

《/where》

《/sql》

絕大多數情況下,鼓勵大家使用#這種方式傳參,更安全,效率更高。

但是有時有些特殊情況,比如:

《sql id=“orderBy”》

order by ${sortString}

《/sql》

sortString字段的內容是一個方法中動態計算出來的,這種情況是沒法用#,代替$的,這樣程序會報錯。

使用$的情況就有sql注入的風險。

那么這種情況該怎辦呢?

自己寫個util工具過濾掉所有的注入關鍵字,動態計算時調用該工具。

如果數據源用的阿里的druid的話,可以開啟filter中的wall(防火墻),它包含了防止sql注入的功能。但是有個問題,就是它默認不允許多語句同時操作,對批量更新操作也會攔截,這就需要我們自定義filter了。

6.表信息是如何泄露的?

有些細心的同學,可能會提出一個問題:在上面鎖表的例子中,攻擊者是如何拿到表信息的?

方法1:盲猜

就是攻擊者根據常識猜測可能存在的表名稱。

假設我們有這樣的查詢條件:

select * from t_order where id = ${id};

傳入參數:-1;select * from user

最終執行sql變成:

select * from t_order where id = -1;select * from user;

如果該sql有數據返回,說明user表存在,被猜中了。

建議表名不要起得過于簡單,可以帶上適當的前綴,比如:t_user。這樣可以增加盲猜的難度。

方法2:通過系統表

其實mysql有些系統表,可以查到我們自定義的數據庫和表的信息。

假設我們還是以這條sql為例:

select code,name from t_order where id = ${id};

第一步,獲取數據庫和賬號名。

傳參為:-1 union select database(),user()#

最終執行sql變成:

select code,name from t_order where id = -1 union select database(),user()#

會返回當前 數據庫名稱:sue 和 賬號名稱:root@localhost。

6a8084ca-7b71-11eb-8b86-12bb97331649.png

第二步,獲取表名。

傳參改成:-1 union select table_name,table_schema from information_schema.tables where table_schema=‘sue’# 最終執行sql變成:

select code,name from t_order where id = -1 union select table_name,table_schema from information_schema.tables where table_schema=‘sue’#

會返回數據庫sue下面所有表名。

6a940018-7b71-11eb-8b86-12bb97331649.png

7.sql注入到底有哪些危害?

1. 核心數據泄露

大部分攻擊者的目的是為了賺錢,說白了就是獲取到有價值的信息拿出去賣錢,比如:用戶賬號、密碼、手機號、身份證信息、銀行卡號、地址等敏感信息。

他們可以注入類似這樣的語句:

-1; select * from user;--

就能輕松把用戶表中所有信息都獲取到。

所以,建議大家對這些敏感信息加密存儲,可以使用AES對稱加密。

2. 刪庫跑路

也不乏有些攻擊者不按常理出牌,sql注入后直接把系統的表或者數據庫都刪了。

他們可以注入類似這樣的語句:

-1; delete from user;--

以上語句會刪掉user表中所有數據。

-1; drop database test;--

以上語句會把整個test數據庫所有內容都刪掉。

正常情況下,我們需要控制線上賬號的權限,只允許DML(data manipulation language)數據操縱語言語句,包括:select、update、insert、delete等。

不允許DDL(data definition language)數據庫定義語言語句,包含:create、alter、drop等。

也不允許DCL(Data Control Language)數據庫控制語言語句,包含:grant,deny,revoke等。

DDL和DCL語句只有dba的管理員賬號才能操作。

順便提一句:如果被刪表或刪庫了,其實還有補救措施,就是從備份文件中恢復,可能只會丟失少量實時的數據,所以一定有備份機制。

3. 把系統搞掛

有些攻擊者甚至可以直接把我們的服務搞掛了,在老東家的時候就是這種情況。

他們可以注入類似這樣的語句:

-1;鎖表語句;--

把表長時間鎖住后,可能會導致數據庫連接耗盡。

這時,我們需要對數據庫線程做監控,如果某條sql執行時間太長,要郵件預警。此外,合理設置數據庫連接的超時時間,也能稍微緩解一下這類問題。

從上面三個方面,能看出sql注入問題的危害真的挺大的,我們一定要避免該類問題的發生,不要存著僥幸的心理。如果遇到一些不按常理出票的攻擊者,一旦被攻擊了,你可能會損失慘重。

8. 如何防止sql注入?

1. 使用預編譯機制

盡量用預編譯機制,少用字符串拼接的方式傳參,它是sql注入問題的根源。

2. 要對特殊字符轉義

有些特殊字符,比如:%作為like語句中的參數時,要對其進行轉義處理。

3. 要捕獲異常

需要對所有的異常情況進行捕獲,切記接口直接返回異常信息,因為有些異常信息中包含了sql信息,包括:庫名,表名,字段名等。攻擊者拿著這些信息,就能通過sql注入隨心所欲的攻擊你的數據庫了。目前比較主流的做法是,有個專門的網關服務,它統一暴露對外接口。用戶請求接口時先經過它,再由它將請求轉發給業務服務。這樣做的好處是:能統一封裝返回數據的返回體,并且如果出現異常,能返回統一的異常信息,隱藏敏感信息。此外還能做限流和權限控制。

4. 使用代碼檢測工具

使用sqlMap等代碼檢測工具,它能檢測sql注入漏洞。

5. 要有監控

需要對數據庫sql的執行情況進行監控,有異常情況,及時郵件或短信提醒。

6. 數據庫賬號需控制權限

對生產環境的數據庫建立單獨的賬號,只分配DML相關權限,且不能訪問系統表。切勿在程序中直接使用管理員賬號。

7. 代碼review

建立代碼review機制,能找出部分隱藏的問題,提升代碼質量。

8. 使用其他手段處理

對于不能使用預編譯傳參時,要么開啟druid的filter防火墻,要么自己寫代碼邏輯過濾掉所有可能的注入關鍵字。

原文標題:SQL 注入竟然把我們的系統搞掛了,該怎么辦?

文章出處:【微信公眾號:數據分析與開發】歡迎添加關注!文章轉載請注明出處。

責任編輯:haq

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 數據
    +關注

    關注

    8

    文章

    7030

    瀏覽量

    89038
  • SQL
    SQL
    +關注

    關注

    1

    文章

    764

    瀏覽量

    44133

原文標題:SQL 注入竟然把我們的系統搞掛了,該怎么辦?

文章出處:【微信號:DBDevs,微信公眾號:數據分析與開發】歡迎添加關注!文章轉載請注明出處。

收藏 人收藏

    評論

    相關推薦

    淺談SQL優化小技巧

    存儲在緩存中的數據; (3)未命中緩存后,MySQL通過關鍵字將SQL語句進行解析,并生成一顆對應的解析樹,MySQL解析器將使用MySQL語法進行驗證和解析。 例如,驗證是否使用了錯誤的關鍵字,或者關鍵字的使用是否正確; (4)預處理是根據一些MySQL規則檢查解析樹
    的頭像 發表于 12-25 09:59 ?419次閱讀

    對于低能注入(BR 2K),四點探針測量RS,為什么新針比老針的RS低?而高能注入RS不存在情況呢

    對于低能注入(BR 2K),四點探針測量RS,為什么新針比老針的RS低?而高能注入RS不存在情況呢
    發表于 12-20 23:05

    SQL錯誤代碼及解決方案

    SQL數據庫開發和管理中,常見的錯誤代碼及其解決方案可以歸納如下: 一、語法錯誤(Syntax Errors) 錯誤代碼 :無特定代碼,但通常會在錯誤消息中明確指出是語法錯誤。 原因 :SQL語句
    的頭像 發表于 11-19 10:21 ?1679次閱讀

    常用SQL函數及其用法

    SQL(Structured Query Language)是一種用于管理和操作關系數據庫的編程語言。SQL 提供了豐富的函數庫,用于數據檢索、數據更新、數據刪除以及數據聚合等操作。以下是一些常用
    的頭像 發表于 11-19 10:18 ?273次閱讀

    SQL與NoSQL的區別

    在信息技術領域,數據庫是存儲和管理數據的核心組件。隨著互聯網的發展和大數據時代的到來,對數據庫的需求也在不斷變化。SQL和NoSQL作為兩種主流的數據庫管理系統,各自有著獨特的優勢和應用場
    的頭像 發表于 11-19 10:15 ?174次閱讀

    TAS5711功放ESD打掛了,怎么辦?

    TAS5711 功放ESD 打掛了,怎么辦? 1.如何防護。 2,.哪個寄存器判斷是否能工作正常? 3.設計上有什么建議?
    發表于 10-23 08:09

    數據庫數據恢復—SQL Server數據庫出現823錯誤的數據恢復案例

    SQL Server數據庫故障: SQL Server附加數據庫出現錯誤823,附加數據庫失敗。數據庫沒有備份,無法通過備份恢復數據庫。 SQL Server數據庫出現823錯誤的可能原因有:數據庫物理頁面損壞、數據庫物理頁
    的頭像 發表于 09-20 11:46 ?351次閱讀
    數據庫數據恢復—<b class='flag-5'>SQL</b> Server數據庫出現823錯誤的數據恢復案例

    IP 地址在 SQL 注入攻擊中的作用及防范策略

    數據庫在各個領域的逐步應用,其安全性也備受關注。SQL 注入攻擊作為一種常見的數據庫攻擊手段,給網絡安全帶來了巨大威脅。今天我們來聊一聊SQL 注入攻擊的基本知識。
    的頭像 發表于 08-05 17:36 ?312次閱讀

    恒訊科技分析:sql數據庫怎么用?

    SQL數據庫的使用通常包括以下幾個基本步驟: 1、選擇數據庫系統: 選擇適合您需求的SQL數據庫系統,如MySQL、PostgreSQL、Microsoft
    的頭像 發表于 07-15 14:40 ?361次閱讀

    什么是 Flink SQL 解決不了的問題?

    簡介 在實時數據開發過程中,大家經常會用 Flink SQL 或者 Flink DataStream API 來做數據加工。通常情況下選用2者都能加工出想要的數據,但是總會有 Flink SQL
    的頭像 發表于 07-09 20:50 ?313次閱讀

    D-Link NAS設備存在嚴重漏洞,易受攻擊者注入任意命令攻擊

    問題源于URL處理軟件中的CGI腳本段“/cgi-bin/ nas_sharing. CGI”,其對HTTPGET請求的處理過程存在漏洞。漏洞以CVE-2024-3273作為識別號
    的頭像 發表于 04-08 10:28 ?895次閱讀

    SQL全外連接剖析

    SQL中的全外連接是什么? 在SQL中,FULLOUTERJOIN組合左外連接和右外連接的結果,并返回連接子句兩側表中的所有(匹配或不匹配)行。接下面sojson給大家詳細講解。 ? 圖解:SQL
    的頭像 發表于 03-19 18:28 ?2241次閱讀
    <b class='flag-5'>SQL</b>全外連接剖析

    如何開始監控SQL Server環境?

    理想情況下,最好、最有效的做法是使用可靠的監控解決方案。然后您就可以將所有內容集中在一處并獲得大量見解。否則,您可以登錄每個系統并手動檢查,但這為您提供的數據較少,沒有關聯等。 雖然您可以手動監控
    的頭像 發表于 02-28 17:25 ?401次閱讀

    什么是離子注入?離子注入的應用介紹

    離子注入是將高能離子注入半導體襯底的晶格中來改變襯底材料的電學性能的摻雜工藝。通過注入能量、角度和劑量即可控制摻雜濃度和深度,相較于傳統的擴散工藝更為精確。
    的頭像 發表于 02-21 10:23 ?5100次閱讀
    什么是離子<b class='flag-5'>注入</b>?離子<b class='flag-5'>注入</b>的應用介紹

    為什么需要監控SQL服務器?

    服務器是存儲、處理和管理數據的關系數據庫管理系統 (RDBMS) 工具或軟件,例如Microsoft的MSSQL、Oracle DB和PostgreSQL。此外,服務器執行SQL查詢和命令來操作關系數據庫。實際上,
    的頭像 發表于 02-19 17:19 ?474次閱讀
    主站蜘蛛池模板: 久久va| 国产牛牛| 久久一级毛片| 性做久久久久久久免费看| 亚洲婷婷六月| 精品爱爱| 午夜黄色影片| 免费看国产一级片| abc欧美成人影院| 亚洲天堂一区二区三区| 国产精品第一页在线观看| 日本亚洲天堂网| 午夜影视在线观看| 亚洲大胆精品337p色| 欧美一级片在线免费观看| 国产资源站| 国产成人悠悠影院| 日本免费视频| 蜜月mv国产精品| 亚洲日本高清| 操综合网| 道区二区三区四区| 黄色激情小说视频| 日韩爱爱| 在线播放真实国产乱子伦| 韩国激情啪啪| www.黄黄黄| 色www永久免费视频| 国产一级特黄aa级特黄裸毛片| 狠狠天天| 四虎黄色| 成年午夜一级毛片视频| 欧美乱乱| 我想看一级黄色片| 久久香蕉综合色一综合色88| 久久天天| 久久99热不卡精品免费观看| 经典三级第一页| 黄色国产| 色婷婷成人| 女bbbbxxxx毛片视频丶|