BS系统中,传统的注入攻击手段有很多。
最基本的,利用单引号攻击的,很容易解决,用类似于QuotedStr()(实际开发是其他语言,这里用DELPHI中的函数代替)的函数处理参数即可。 但实际应用中,不可避免会有一些应用需要直接传递参数,例如表名、查询条件、排序条件等等 对这些应用的注入攻击防不胜防。 我考虑了一个思路,供大家参考。 1 对所有网页传入的参数分三种。 a) 数字类型,用StrToInt函数处理。 b) 字符串类型,用QuotedStr函数处理。 c) 需要直接传递的参数,这是需要着重考虑的类型。 2 对所有数据库操作主要分五种,不允许程序直接执行SQL语句: a) select 查询 b) update 更新 c) insert 新增 d) delete 删除 e) exec 执行存储过程 3 对于以上几种数据库操作的所有参数,例如select 操作中的 查询条件、排序条件等,都进行合法性校验: a) 里面存在 "--" "/*" "*/" 的,都视为非法条件。 b) 将条件拆分为单词,如果存在以下单词:delete insert update exec execute create drop grant的,都视为非法条件。(正常的表名、字段名中不可能有上面这些关键字吧。) c) 传入的查询条件,校验里面的括号,凡是右括号在左括号前面(不配对)的,都视为非法条件。 d) 传入的查询条件,前后加括号。 经过以上校验,应该基本可以保证参数是正常的参数,供大家参考。同时也希望大家能找出其中的漏洞,我可以进行改进^_^ |
|