SQL(結(jié)構(gòu)化查詢語(yǔ)言)注入是眾所周知的軟件弱點(diǎn)和安全漏洞，如果不是的話，也是最出名的漏洞之一。盡管享有盛名，但如何防止SQL注入仍然是主要漏洞之一，并且攻擊持續(xù)增長(zhǎng)。

查找SQL注入

根據(jù)OWASP Top 10，注入漏洞(其中SQL注入是其中一種)是Web應(yīng)用程序安全性的頭號(hào)問(wèn)題。SQL注入在CWE Top 25中排名第六。其他類型的安全漏洞示例包括：

• 指令注入(CWE-77)
• 操作系統(tǒng)命令注入(CWE-78)
• 冬眠注射(CWE-564)
• 表達(dá)語(yǔ)言注入(CWE-917)

所有這些漏洞都有一個(gè)共同的屬性。利用來(lái)自系統(tǒng)外部的數(shù)據(jù)，用戶或文件輸入或任何潛在危險(xiǎn)功能來(lái)利用它們。

幸運(yùn)的是，SQL注入可以通過(guò)工具靜態(tài)和動(dòng)態(tài)地檢測(cè)到。但是，您永遠(yuǎn)無(wú)法確定是否全部抓住了它們。防止SQL注入也是減少這些漏洞的頻率和影響的關(guān)鍵。結(jié)合了漏洞檢測(cè)和預(yù)防功能的成熟DevSecOps流程很可能會(huì)捕獲并阻止這些類型的漏洞進(jìn)入已發(fā)布的產(chǎn)品。

什么是SQL?

SQL是一種特定于域的語(yǔ)言，旨在管理關(guān)系數(shù)據(jù)庫(kù)。關(guān)系數(shù)據(jù)庫(kù)將數(shù)據(jù)顯示為行和列中的表的集合。每行都有一個(gè)提供與其他表的關(guān)系的鍵。這是表“user”的示例：

與CWE Top 25中常見(jiàn)的漏洞枚舉有關(guān)的內(nèi)存錯(cuò)誤

SQL是用于管理，查詢和處理關(guān)系數(shù)據(jù)庫(kù)中數(shù)據(jù)的首選語(yǔ)言。它定義數(shù)據(jù)庫(kù)創(chuàng)建中的表和關(guān)系。對(duì)于大多數(shù)日常使用，開(kāi)發(fā)人員將SQL用于“CRUD”—創(chuàng)建、讀取、更新和刪除數(shù)據(jù)。

為什么SQL可利用?

通用編程語(yǔ)言不包括對(duì)SQL的支持。通過(guò)數(shù)據(jù)庫(kù)供應(yīng)商提供的API訪問(wèn)數(shù)據(jù)庫(kù)命令。在許多情況下，SQL命令以字符串形式發(fā)送，API會(huì)解釋該字符串并將其應(yīng)用于數(shù)據(jù)庫(kù)。以下是一些簡(jiǎn)單的SQL查詢：

典型的SQL查詢采用以下形式：

Select (something) from (somewhere) (optional condition) 

以上表為例，從姓氏為“Smith”的行中檢索電子郵件，使用以下SQL語(yǔ)句：

Select email from user where lastname = ‘Smith’ 

輸出如下：

Smith1234@mail.com 
John.smith@mail.netSmith1234@mail.com 

使用Web表單(見(jiàn)下文)從用戶那里獲取輸入是Web應(yīng)用程序中的一種常見(jiàn)用例。 用戶在“名稱”字段中輸入的數(shù)據(jù)，例如，用于根據(jù)收到的輸入來(lái)形成SQL查詢。 考慮以下簡(jiǎn)單的Web表單：

該軟件處理表單并將值分配給變量，如下所示：

String formName = request.getParameter(Name); 

輸入為“名稱”的字符串用于使用該用戶輸入來(lái)組合查詢：

String myQuery = “select message from user where email = ‘” + formName +”’;” 

使用此構(gòu)造的查詢：

Select message from user where email= ‘Smith1234@mail.com’; 

其輸出(以上表為例)如下：

Hello 
How are you 

希望很容易看到這一切都會(huì)出錯(cuò)。假定直接在字符串中使用用戶輸入，那么了解SQL語(yǔ)法的人可以輕松地操縱它來(lái)生成SQL查詢?？紤]以下示例：

使用上面相同的表格，有人在電子郵件字段中輸入“Smith1234@mail.com”或“1” =“1”。

相同的代碼將組裝以下SQL查詢字符串：

Select message from user where email = ‘Smith1234@mail.com’ or ‘1’=’1’; 

添加看似無(wú)害的內(nèi)容(例如“or 1=1”)會(huì)更改查詢的邏輯，并可能通過(guò)返回表中稱為“用戶”的所有行來(lái)泄漏數(shù)據(jù)。在這種情況下，向您顯示表中每個(gè)用戶的消息。嚴(yán)重的隱私問(wèn)題，在某些司法管轄區(qū)或環(huán)境中也可能存在法律問(wèn)題，例如GDPR，HIPAA或CCPA。

上面的查詢以以下意外輸出結(jié)束：

Hello 
Password 1234 
How are youDon’t tell anyone 
Wassup 

SQL注入的工作方式

SQL注入(和其他類型的注入漏洞)的基本要點(diǎn)是在SQL查詢字符串中使用來(lái)自應(yīng)用程序外部的未經(jīng)檢查的數(shù)據(jù)，例如用戶輸入文本。CWE 89的描述：“SQL命令中使用的特殊元素的不適當(dāng)中和(SQL注入)”更精確地定義了以下內(nèi)容：

“在用戶可控制的輸入中沒(méi)有充分刪除或引用SQL語(yǔ)法的情況下，生成的SQL查詢可能導(dǎo)致這些輸入被解釋為SQL而不是普通用戶數(shù)據(jù)。這可用于更改查詢邏輯以繞過(guò)安全性檢查，或用于插入修改后端數(shù)據(jù)庫(kù)的其他語(yǔ)句，可能包括執(zhí)行系統(tǒng)命令。”

CWE數(shù)據(jù)庫(kù)中的相同條目(CWE 89)提供了此攻擊的另一個(gè)簡(jiǎn)單示例。假設(shè)應(yīng)用程序代表用戶“wiley”進(jìn)行查詢，并且用戶以包含SQL指令的方式構(gòu)造輸入，例如：

name'; DELETE FROM items; -- 

如果此應(yīng)用程序不對(duì)此輸入進(jìn)行任何有效性檢查，則會(huì)構(gòu)造如下查詢：

SELECT * FROM items WHERE owner = 'wiley' AND itemname = 'name'; 
DELETE FROM items; 
--' 

如果此攻擊成功，它將刪除表項(xiàng)中的所有數(shù)據(jù)，從而對(duì)數(shù)據(jù)庫(kù)造成破壞。任何有效的SQL命令都可能以這種方式執(zhí)行。這是寫(xiě)/修改攻擊的示例，其目的是破壞數(shù)據(jù)庫(kù)或插入不需要的信息。前面的示例(“or 1=1”)是讀取攻擊，其目的是數(shù)據(jù)泄漏。

數(shù)據(jù)庫(kù)服務(wù)器的許多實(shí)現(xiàn)都接受分號(hào)作為命令分隔符，這使得這種SQL注入非常危險(xiǎn)。尾部的“–”表示文本的其余部分為注釋，從而迫使SQL解釋器忽略尾部的引號(hào)，否則將導(dǎo)致語(yǔ)法錯(cuò)誤。欺騙組合查詢字符串的方法有多種。有時(shí)以開(kāi)發(fā)人員無(wú)法想象的方式。

防止SQL注入的緩解措施

開(kāi)發(fā)人員應(yīng)實(shí)施幾種緩解措施。首先，安全立場(chǎng)應(yīng)考慮所有來(lái)自不受信任的應(yīng)用程序外部的數(shù)據(jù)。以下是典型的緩解策略：

• 將準(zhǔn)備好的語(yǔ)句與參數(shù)化查詢一起使用。
• 使用存儲(chǔ)過(guò)程。
• 白名單輸入驗(yàn)證。
• 轉(zhuǎn)義所有提供的輸入。

這些在OWASP速查表的SQL注入中有更詳細(xì)的描述。

測(cè)試SQL注入

一種典型的安全性方法是，在集成軟件運(yùn)行時(shí)，作為常規(guī)質(zhì)量檢查操作的一部分，執(zhí)行各種類型的安全性測(cè)試。不幸的是，功能測(cè)試不會(huì)嘗試將漏洞利用插入用戶輸入字段中，因?yàn)榇蠖鄶?shù)測(cè)試人員并不認(rèn)為自己是壞演員。

除了傳統(tǒng)上他們沒(méi)有時(shí)間或方向的事實(shí)之外。手動(dòng)測(cè)試注入類型漏洞也很困難，因?yàn)樗枰獓L試許多不同的輸入組合。這是開(kāi)始進(jìn)行模糊測(cè)試或模糊測(cè)試的地方。它會(huì)創(chuàng)建隨機(jī)，意外和無(wú)效的數(shù)據(jù)作為被測(cè)應(yīng)用程序的輸入。模糊測(cè)試是滲透測(cè)試的一部分，因?yàn)槟繕?biāo)是通過(guò)公開(kāi)的界面公開(kāi)安全漏洞。

滲透測(cè)試

滲透性測(cè)試(以及擴(kuò)展性的模糊測(cè)試)是有益的，因?yàn)樗梢园l(fā)現(xiàn)貫穿整個(gè)過(guò)程的安全性問(wèn)題并揭示重要的安全性問(wèn)題。但是，像所有動(dòng)態(tài)測(cè)試一樣，它完全取決于測(cè)試，代碼和API覆蓋的數(shù)量，以完全測(cè)試所有可能的排列和組合。滲透測(cè)試取決于功能測(cè)試的完整性，通常在用戶界面級(jí)別進(jìn)行。因此，請(qǐng)務(wù)必通過(guò)API測(cè)試和SAST支持滲透測(cè)試，以確保您的工作透徹。

API測(cè)試

API測(cè)試通過(guò)消除對(duì)脆弱且耗時(shí)的UI測(cè)試的依賴，有助于向左移動(dòng)功能和安全性測(cè)試。API層是許多應(yīng)用程序功能所駐留的地方，并且測(cè)試在此級(jí)別進(jìn)行更改時(shí)更具彈性，并且更易于自動(dòng)化和維護(hù)。

API級(jí)別的滲透測(cè)試

使用諸如Parasoft SOAtest之類的工具可以進(jìn)行API級(jí)別的滲透測(cè)試以暴露SQL注入，在這些工具中，可以從現(xiàn)有功能測(cè)試中創(chuàng)建自動(dòng)模糊測(cè)試，從而行使應(yīng)用程序的業(yè)務(wù)邏輯。Parasoft SOAtest與著名的滲透測(cè)試工具Burp Suite集成在一起。

使用Parasoft SOAtest執(zhí)行功能測(cè)試方案時(shí)，將捕獲測(cè)試中定義的API調(diào)用以及請(qǐng)求和響應(yīng)流量。每次測(cè)試中的Burp Suite分析工具都會(huì)將流量數(shù)據(jù)傳遞到Burp Suite應(yīng)用程序的一個(gè)單獨(dú)的運(yùn)行實(shí)例，該實(shí)例將根據(jù)其在流量數(shù)據(jù)中觀察到的API參數(shù)，使用自己的啟發(fā)式方法對(duì)API進(jìn)行滲透測(cè)試。

然后，Burp Suite分析工具將獲取Burp Suite發(fā)現(xiàn)的任何錯(cuò)誤，并將其報(bào)告為SOAtest中與訪問(wèn)API的測(cè)試相關(guān)的錯(cuò)誤。Parasoft SOAtest結(jié)果將報(bào)告到Parasoft的報(bào)告和分析儀表板中。有關(guān)其他報(bào)告功能。

要了解有關(guān)此集成的更多信息，請(qǐng)參閱我們以前的滲透測(cè)試文章。有關(guān)Portswigger關(guān)于使用Burp進(jìn)行SQL注入的更多信息，請(qǐng)查看其文章。以下是與Burp集成的工作方式的表示：

將這種類型的滲透測(cè)試集成到您的CI/CD流程中是防御SQL注入和其他類型漏洞的重要組成部分。

滲透和模糊測(cè)試無(wú)疑是DevSecOps中的重要過(guò)程，并且至關(guān)重要。但是，這提出了問(wèn)題。

• 測(cè)試檢測(cè)到安全漏洞時(shí)會(huì)發(fā)生什么?
• 當(dāng)軟件團(tuán)隊(duì)發(fā)現(xiàn)其大部分用戶輸入處理不安全時(shí)，會(huì)發(fā)生什么?
• 它當(dāng)然需要修復(fù)，但是要付出什么代價(jià)?

在開(kāi)發(fā)的后期發(fā)現(xiàn)嚴(yán)重的安全問(wèn)題會(huì)導(dǎo)致嚴(yán)重的成本和延遲。預(yù)防和檢測(cè)是將安全操作進(jìn)一步轉(zhuǎn)移到更便宜且更容易修復(fù)的地方的關(guān)鍵。

將SQL注入的檢測(cè)和消除向左移動(dòng)

在軟件開(kāi)發(fā)中采用DevSecOps方法意味著將安全性集成到DevOps管道的各個(gè)方面。正如團(tuán)隊(duì)盡早在SDLC中推進(jìn)代碼分析和單元測(cè)試等質(zhì)量流程一樣，安全性也是如此。

如果團(tuán)隊(duì)更廣泛地采用這種方法，則SQL注入可能已成為過(guò)去。攻擊的增加意味著它尚未發(fā)生。無(wú)論如何，讓我們概述一種可以盡早防止SQL注入的方法。

與修補(bǔ)(和道歉!)已發(fā)布的應(yīng)用程序相比，查找和修復(fù)潛在的SQL注入(以及其他注入漏洞)可節(jié)省大量時(shí)間。單個(gè)重大事件可能使公司損失20萬(wàn)美元或更多。小型企業(yè)發(fā)生許多事件。一次攻擊會(huì)造成嚴(yán)重的財(cái)務(wù)壓力，更不用說(shuō)有關(guān)違規(guī)披露和保護(hù)個(gè)人身份信息的潛在監(jiān)管問(wèn)題了。

下面概述的“檢測(cè)和阻止”方法基于將減輕SQL注入的風(fēng)險(xiǎn)轉(zhuǎn)移到開(kāi)發(fā)的最早階段，并通過(guò)通過(guò)靜態(tài)代碼分析進(jìn)行檢測(cè)來(lái)增強(qiáng)此功能。

如何檢測(cè)SQL注入

檢測(cè)SQL注入依賴于靜態(tài)分析來(lái)在源代碼中找到這些類型的漏洞。檢測(cè)發(fā)生在開(kāi)發(fā)人員的桌面和構(gòu)建系統(tǒng)中。它可以包括現(xiàn)有的、舊的和第三方代碼。

連續(xù)檢測(cè)安全問(wèn)題可確保發(fā)現(xiàn)以下所有問(wèn)題：

• 開(kāi)發(fā)人員錯(cuò)過(guò)了IDE。
• 存在于比您的新的檢測(cè)預(yù)防方法還早的代碼中。

推薦的方法是信任但驗(yàn)證模型。安全性分析在IDE級(jí)別進(jìn)行，開(kāi)發(fā)人員在該級(jí)別上根據(jù)收到的報(bào)告做出實(shí)時(shí)決策。接下來(lái)，在構(gòu)建級(jí)別進(jìn)行驗(yàn)證。理想情況下，構(gòu)建級(jí)別的目標(biāo)不是找到漏洞。這是為了驗(yàn)證系統(tǒng)是否干凈。

例如，以Parasoft的演示應(yīng)用程序Parabank為例。com.parasoft.parabank.dao.jdbc.internal中的StockDataInserter.java文件中可能存在SQL注入：

… 
final String sql = sb.toString(); 
rows = (nextId - lastId) / JdbcSequenceDao.OFFSET;totalRows += rows;getJdbcTemplate().update(sql);… 

Parasoft JTest在生成時(shí)生成的報(bào)告如下：

詳細(xì)信息如下：

Call to a dangerous method 
StockDataInserter.java (96): getJdbcTemplate().update(sql); *** Tainted data: SQL 

追溯到先前發(fā)現(xiàn)源污染數(shù)據(jù)(來(lái)自應(yīng)用程序外部的未經(jīng)檢查、未經(jīng)驗(yàn)證的輸入)的位置：

Tainting point 
StockDataInserter.java (47): return getJdbcTemplate().query(SQL, new 
ResultSetExtractor<List<String>>() { *** Tainted data: 
getJdbcTemplate().query(SQL, new ResultSetExtractor<List<Str...return 
symbols; } }) 

在與SQL注入的持續(xù)斗爭(zhēng)中，開(kāi)發(fā)人員需要認(rèn)真對(duì)待這些警告。在SQL查詢中任何使用未經(jīng)驗(yàn)證的數(shù)據(jù)都是嚴(yán)重的風(fēng)險(xiǎn)。即使當(dāng)前的形式可能不是一個(gè)特定的警告問(wèn)題，以后的重構(gòu)也可能會(huì)暴露這些漏洞。檢查查詢字符串中使用的所有數(shù)據(jù)!

實(shí)際上，開(kāi)發(fā)人員應(yīng)驗(yàn)證來(lái)自應(yīng)用程序外部的任何數(shù)據(jù)，以確保它們符合預(yù)期的格式和內(nèi)容。轉(zhuǎn)向“始終驗(yàn)證”的理念以及依靠安全編碼而不是安全測(cè)試的過(guò)程會(huì)大大提高應(yīng)用程序的安全性。開(kāi)始加強(qiáng)代碼，以防止SQL注入首先被封裝。

何時(shí)以及如何防止SQL注入

防止SQL注入的理想時(shí)間和地點(diǎn)是開(kāi)發(fā)人員在其IDE中編寫(xiě)代碼時(shí)。采納安全編碼標(biāo)準(zhǔn)(例如C和C++的SEI CERT C和Java和.NET的OWASP Top 10或CWE Top 25)的團(tuán)隊(duì)都具有警告未驗(yàn)證SQL查詢輸入的準(zhǔn)則。

在新創(chuàng)建的代碼上運(yùn)行靜態(tài)分析既快速又簡(jiǎn)單，并且很容易集成到CI/CD流程中。在現(xiàn)階段調(diào)查所有安全警告和不安全的編碼做法是一個(gè)好習(xí)慣，以防止將此代碼寫(xiě)入到內(nèi)部版本中。

檢測(cè)不良編碼實(shí)踐的同等重要的部分是報(bào)告的實(shí)用性。重要的是要能夠理解靜態(tài)分析違規(guī)的根本原因，以便快速、有效地解決它們。這就是Parasoft的C/C++test，dotTEST和Jtest等商業(yè)工具的發(fā)源地。

Parasoft的自動(dòng)測(cè)試工具可對(duì)警告進(jìn)行完整跟蹤，在IDE中進(jìn)行說(shuō)明，并連續(xù)收集構(gòu)建信息和其他信息。這些收集的數(shù)據(jù)以及測(cè)試結(jié)果和指標(biāo)可提供對(duì)團(tuán)隊(duì)編碼標(biāo)準(zhǔn)合規(guī)性的全面了解。它還顯示了總體質(zhì)量和安全狀態(tài)。

這些報(bào)告包括風(fēng)險(xiǎn)模型，這些模型是OWASP，CERT和CWE提供的信息的一部分。這樣，開(kāi)發(fā)人員可以更好地了解該工具報(bào)告的潛在漏洞的影響以及應(yīng)優(yōu)先考慮哪些漏洞。在IDE級(jí)別生成的所有數(shù)據(jù)都與上面概述的下游活動(dòng)相關(guān)。

總結(jié)

臭名昭著的SQL注入漏洞繼續(xù)困擾著Web應(yīng)用程序。盡管知道它是如何工作和可以被利用的，但它仍然很普遍。有關(guān)最新示例，請(qǐng)參見(jiàn)IoT Hall of Shame。

我們提出一種預(yù)防和檢測(cè)方法來(lái)補(bǔ)充主動(dòng)安全測(cè)試。這種方法可防止在寫(xiě)入代碼之前盡早在SDLC中進(jìn)行SQL注入。防止在IDE上進(jìn)行SQL注入并在CI/CD管道中檢測(cè)到它們是將其路由到軟件之外的關(guān)鍵。最后，在使用滲透測(cè)試技術(shù)的測(cè)試過(guò)程中查找并修復(fù)這些錯(cuò)誤。

與SQL注入(以及其他受污染數(shù)據(jù)的利用)的斗爭(zhēng)仍在繼續(xù)。精明的團(tuán)隊(duì)可以在他們現(xiàn)有的工作流程中以正確的流程、工具和自動(dòng)化扭轉(zhuǎn)局面。