Web安全测试学习笔记-DVWA-SQL注入-1

SQL注入的定义网上很多，作为一个初学者，我对SQL注入的理解是这样的：网站应用一般都有后台数据库(不论是关系型还是非关系型)，用户在网站上的绝大部分操作，最终都会跟数据库交互（也就是执行一串SQL语句）。既然最终是执行一串SQL语句，那攻击者只要猜到了这串SQL语句从前端输入到最后执行是如何拼接的，就可以拼接自己的恶意SQL语句，来非法获取数据。所以，要学习SQL注入，首先，你得会SQL~O(∩_∩)O~

我用DVWA来练习SQL注入，先将安全等级设置为low，如下：

进入SQL Injection页面，如下。作为一个初学者，刚进入这个页面的时候，我是懵逼的...>_<...

页面就一个输入框和一个按钮，看上去是需要输入一个数字，我尝试输入了数字2，页面返回了一些信息，同时URL后面多了"?id=2&Submit=Submit#"：

从这里看出，参数名称为id，参数值为数字。从返回的信息来看，应该是查询了数据库用户表里用户id为2的那条数据的其中两个字段，所以最终执行的sql应该类似：

select Firstname,Surname from user表 where id =2

既然参数是从前端传进去的，那么有可能在拼接参数的过程中还会带有引号，因此输入2'，然后进入了报错页面：

从报错可以看出，后台使用的数据库类型是MySQL，传入id的值时使用了单引号(可以再试试输入双引号，不会报错)，所以最终执行的sql应该是：

select Firstname,Surname from user表 where id ='2'

然后尝试输入：2' or '1'='1，对应sql如下：

select Firstname,Surname from user表 where id ='2' or '1'='1'

通过1=1将where的过滤条件变为真，结果返回了用户表中所有行，注入成功。

怎样才算SQL注入成功了呢？个人理解是：只要违背了程序原本的意愿都算攻击成功，比如：拿到了更多数据，越权拿到数据，拿到敏感数据，拿到对方服务器信息等等。该页面的本意是根据id一次拿一行数据，通过sql拼接我拿到了表中的所有行。

一点点感悟：

1. 对输入进行过滤

2. 进行异常和错误信息处理很重要，不能直接将数据库异常/错误抛出去

3. 避免将重要参数暴露在URL中，可以使用post请求，将参数放在body中传输

如需转载，请注明出处，这是对他人劳动成果的尊重～