“SQL注入”是一種利用未過濾/未審核用戶輸入的攻擊方法（“緩存溢出”和這個(gè)不同），意思就是讓應(yīng)用運(yùn)行本不應(yīng)該運(yùn)行的SQL代碼。如果應(yīng)用毫無防備地創(chuàng)建了SQL字符串并且運(yùn)行了它們，就會造成一些出人意料的結(jié)果。

　　具體來說，它是利用現(xiàn)有應(yīng)用程序，將（惡意）的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語句。［1］ 比如先前的很多影視網(wǎng)站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式攻擊．

　　SQL注入攻擊指的是通過構(gòu)建特殊的輸入作為參數(shù)傳入Web應(yīng)用程序，而這些輸入大都是SQL語法里的一些組合，通過執(zhí)行SQL語句進(jìn)而執(zhí)行攻擊者所要的操作，其主要原因是程序沒有細(xì)致地過濾用戶輸入的數(shù)據(jù)，致使非法數(shù)據(jù)侵入系統(tǒng)。

　　可能導(dǎo)致SQL注入的隱患

　　1、 隨著B/S（瀏覽器/服務(wù)器）模式應(yīng)用開發(fā)的發(fā)展，從事動態(tài)網(wǎng)頁以及腳本編程的程序員越來越多，在一段不長的時(shí)間里，新手往往就已經(jīng)能夠編出看來比較完美的動態(tài)網(wǎng)站，在功能上，很容易就能實(shí)現(xiàn)。但是因?yàn)槌绦騿T的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時(shí)候存在漏洞，給攻擊者提供便利條件。

　　2、系統(tǒng)對用戶輸入的參數(shù)不進(jìn)行檢查和過濾，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，或者程序中本身的變量處理不當(dāng)，使應(yīng)用程序存在安全隱患。

　　3、因?yàn)镾QL注入主要是針對web應(yīng)用程序提交數(shù)據(jù)庫查詢請求的攻擊，與正常的用戶訪問沒有什么區(qū)別，所以能夠輕易的繞過防火墻直接訪問數(shù)據(jù)庫，甚至能夠獲得數(shù)據(jù)庫所在的服務(wù)器的訪問權(quán)限。

　　SQL注入實(shí)例演示

　　利用Pangolin工具實(shí)現(xiàn)針對MS SQL環(huán)境的SQL注入攻擊。

　　1. 在本地主機(jī)上通過Internet Explorer等Web瀏覽器訪問目標(biāo)Web服務(wù)器（即Windows Server A，IP地址為192.168.1.103）的主頁。

　　2. 在訪問的網(wǎng)頁URL地址后加上一個(gè)單引號（‘）繼續(xù)訪問， 即http://192.168.1.103/news.aspx？id=1’，如下圖所示：

　　從圖中可以看到數(shù)據(jù)庫連接出錯消息中可以看到如下錯誤消息“字符串 ‘’ 之前有未閉合的引號。”，也就是單引號沒有閉合的意思。

　　3. 繼續(xù)手動測試SQL注入是否存在：訪問如下網(wǎng)頁URL地址： http://192.168.1.103/news.aspx？id=1 and 1=1

　　其中訪問第一個(gè)網(wǎng)頁地址的情況與正常情況相同，而訪問第二個(gè)網(wǎng)頁地址則一片空白，即新聞文檔不存在的意思。

　　4. 進(jìn)入實(shí)驗(yàn)工具目錄，雙擊運(yùn)行Pangolin程序（pangolin.exe），在注入地址“URL”輸入框中輸入http://192.168.1.103/news.aspx？id=1

　　然后點(diǎn)擊工具欄中的開始按鈕開始自動檢測SQL注入漏洞情況。從檢測結(jié)果中可以看到，該網(wǎng)站的SQL注入類型為“Integer（字符型）”，后臺數(shù)據(jù)庫類型為“MS SQL with Error”。 5. 在主界面中的“Information”選項(xiàng)卡中，點(diǎn)擊“Select All”按鈕選擇所有信息類型，包括下面所列舉的“Version”、“Db Name”、“Server Name”等，然后點(diǎn)擊“Go”按鈕開始探測目標(biāo)服務(wù)器的基本信息。

　　6. 在主界面中選擇“Data”選項(xiàng)卡，點(diǎn)擊左下方的“Tables”按鈕來枚舉目標(biāo)當(dāng)前數(shù)據(jù)庫中存在的所有數(shù)據(jù)表的名稱。

　　7. 點(diǎn)擊選擇數(shù)據(jù)庫中的“admin”表，然后點(diǎn)擊下方的“Columns”按鈕來枚舉該數(shù)據(jù)表中所有的數(shù)據(jù)列名。展開“admin”表前面的“+”號可以查看詳細(xì)的列名信息。

　　8. 勾選感興趣的數(shù)據(jù)表以及其中的數(shù)據(jù)列，如admin表中的id、username以及password列，然后點(diǎn)擊右側(cè)的“Datas”按鈕則可以枚舉該表中的所有數(shù)據(jù)項(xiàng)內(nèi)容。在這里，我們還可以通過自定義查詢條件來自定義查詢所感興趣的數(shù)據(jù)內(nèi)容，默認(rèn)為“1=1”表示所有的數(shù)據(jù)內(nèi)容。

　　9. 在主界面中選擇“Command”選項(xiàng)卡，然后在“Command”輸入框中輸入要在目標(biāo)服務(wù)器上執(zhí)行的系統(tǒng)命令，比如“ipconfig”等；在“Type”下拉框中選擇執(zhí)行命令的技術(shù)方法，默認(rèn)為“xp_cmdshell”，其他可選的主要方法有“sp_oa***”等。最后點(diǎn)擊右側(cè)的“Execute”按鈕執(zhí)行命令，可在下方的黑色文本框中看到執(zhí)行結(jié)果。

　　10. 選擇“type”為“sp_oa***”，嘗試執(zhí)行添加用戶的命令操作。

　　11. 在主界面中選擇“Dir Tree”選項(xiàng)卡，然后點(diǎn)擊“Drivers”按鈕列舉目標(biāo)服務(wù)器上的所有驅(qū)動器。雙擊“C：\”節(jié)點(diǎn)可以進(jìn)一步展開獲得C：\根目錄下的所有子目錄和文件，依次可以獲得磁盤上的目錄結(jié)構(gòu)。

　　12. 雙擊某一文件，可以在右側(cè)的文本框中顯示文件的詳細(xì)內(nèi)容。

　　13. 仔細(xì)查看“C：\inetpub\wwwroot”目錄中的網(wǎng)站文件，獲得連接后臺MS SQL數(shù)據(jù)庫的賬號和密碼。