SQL（結(jié)構(gòu)化查詢語言）注入是眾所周知的軟件弱點(diǎn)和安全漏洞，如果不是的話，也是最出名的漏洞之一。盡管享有盛名，但如何防止SQL注入仍然是主要漏洞之一，并且攻擊持續(xù)增長。

查找SQL注入

根據(jù)OWASP Top 10，注入漏洞（其中SQL注入是其中一種）是Web應(yīng)用程序安全性的頭號(hào)問題。SQL注入在CWE Top 25中排名第六。其他類型的安全漏洞示例包括：

• 指令注入（CWE-77）
• 操作系統(tǒng)命令注入（CWE-78）
• 冬眠注射（CWE-564）
• 表達(dá)語言注入（CWE-917）

所有這些漏洞都有一個(gè)共同的屬性。利用來自系統(tǒng)外部的數(shù)據(jù)，用戶或文件輸入或任何潛在危險(xiǎn)功能來利用它們。

幸運(yùn)的是，SQL注入可以通過工具靜態(tài)和動(dòng)態(tài)地檢測(cè)到。但是，您永遠(yuǎn)無法確定是否全部抓住了它們。防止SQL注入也是減少這些漏洞的頻率和影響的關(guān)鍵。結(jié)合了漏洞檢測(cè)和預(yù)防功能的成熟DevSecOps流程很可能會(huì)捕獲并阻止這些類型的漏洞進(jìn)入已發(fā)布的產(chǎn)品。

什么是SQL？

SQL是一種特定于域的語言，旨在管理關(guān)系數(shù)據(jù)庫。關(guān)系數(shù)據(jù)庫將數(shù)據(jù)顯示為行和列中的表的集合。每行都有一個(gè)提供與其他表的關(guān)系的鍵。這是表“user”的示例：

與CWE Top 25中常見的漏洞枚舉有關(guān)的內(nèi)存錯(cuò)誤

SQL是用于管理，查詢和處理關(guān)系數(shù)據(jù)庫中數(shù)據(jù)的首選語言。它定義數(shù)據(jù)庫創(chuàng)建中的表和關(guān)系。對(duì)于大多數(shù)日常使用，開發(fā)人員將SQL用于“CRUD”—?jiǎng)?chuàng)建、讀取、更新和刪除數(shù)據(jù)。

為什么SQL可利用？

通用編程語言不包括對(duì)SQL的支持。通過數(shù)據(jù)庫供應(yīng)商提供的API訪問數(shù)據(jù)庫命令。在許多情況下，SQL命令以字符串形式發(fā)送，API會(huì)解釋該字符串并將其應(yīng)用于數(shù)據(jù)庫。以下是一些簡(jiǎn)單的SQL查詢：

典型的SQL查詢采用以下形式：

Select (something) from (somewhere) (optional condition)

以上表為例，從姓氏為“Smith”的行中檢索電子郵件，使用以下SQL語句：

Select email from user where lastname = ‘Smith’

輸出如下：

Smith1234@mail.com
John.smith@mail.net
Smith1234@mail.com

使用Web表單（見下文）從用戶那里獲取輸入是Web應(yīng)用程序中的一種常見用例。 用戶在“名稱”字段中輸入的數(shù)據(jù)，例如，用于根據(jù)收到的輸入來形成SQL查詢。 考慮以下簡(jiǎn)單的Web表單：

該軟件處理表單并將值分配給變量，如下所示：

String formName = request.getParameter(Name);

輸入為“名稱”的字符串用于使用該用戶輸入來組合查詢：

String myQuery = “select message from user where email = ‘” + formName +”’;”

使用此構(gòu)造的查詢：

Select message from user where email= ‘Smith1234@mail.com’;

其輸出（以上表為例）如下：

Hello
How are you

希望很容易看到這一切都會(huì)出錯(cuò)。假定直接在字符串中使用用戶輸入，那么了解SQL語法的人可以輕松地操縱它來生成SQL查詢。考慮以下示例：

使用上面相同的表格，有人在電子郵件字段中輸入“Smith1234@mail.com”或“1” =“1”。

相同的代碼將組裝以下SQL查詢字符串：

Select message from user where email = ‘Smith1234@mail.com’ or ‘1’=’1’;

添加看似無害的內(nèi)容（例如“or 1=1”）會(huì)更改查詢的邏輯，并可能通過返回表中稱為“用戶”的所有行來泄漏數(shù)據(jù)。在這種情況下，向您顯示表中每個(gè)用戶的消息。嚴(yán)重的隱私問題，在某些司法管轄區(qū)或環(huán)境中也可能存在法律問題，例如GDPR，HIPAA或CCPA。

上面的查詢以以下意外輸出結(jié)束：

Hello
Password 1234
How are you
Don’t tell anyone
Wassup

SQL注入的工作方式

 SQL注入（和其他類型的注入漏洞）的基本要點(diǎn)是在SQL查詢字符串中使用來自應(yīng)用程序外部的未經(jīng)檢查的數(shù)據(jù)，例如用戶輸入文本。CWE 89的描述：“SQL命令中使用的特殊元素的不適當(dāng)中和（SQL注入）”更精確地定義了以下內(nèi)容：

“在用戶可控制的輸入中沒有充分刪除或引用SQL語法的情況下，生成的SQL查詢可能導(dǎo)致這些輸入被解釋為SQL而不是普通用戶數(shù)據(jù)。這可用于更改查詢邏輯以繞過安全性檢查，或用于插入修改后端數(shù)據(jù)庫的其他語句，可能包括執(zhí)行系統(tǒng)命令。”

CWE數(shù)據(jù)庫中的相同條目（CWE 89）提供了此攻擊的另一個(gè)簡(jiǎn)單示例。假設(shè)應(yīng)用程序代表用戶“wiley”進(jìn)行查詢，并且用戶以包含SQL指令的方式構(gòu)造輸入，例如：

name'; DELETE FROM items; --

如果此應(yīng)用程序不對(duì)此輸入進(jìn)行任何有效性檢查，則會(huì)構(gòu)造如下查詢：

SELECT * FROM items WHERE owner = 'wiley' AND itemname = 'name';
DELETE FROM items;
--'

如果此攻擊成功，它將刪除表項(xiàng)中的所有數(shù)據(jù)，從而對(duì)數(shù)據(jù)庫造成破壞。任何有效的SQL命令都可能以這種方式執(zhí)行。這是寫/修改攻擊的示例，其目的是破壞數(shù)據(jù)庫或插入不需要的信息。前面的示例（“or 1=1”）是讀取攻擊，其目的是數(shù)據(jù)泄漏。

數(shù)據(jù)庫服務(wù)器的許多實(shí)現(xiàn)都接受分號(hào)作為命令分隔符，這使得這種SQL注入非常危險(xiǎn)。尾部的“–”表示文本的其余部分為注釋，從而迫使SQL解釋器忽略尾部的引號(hào)，否則將導(dǎo)致語法錯(cuò)誤。欺騙組合查詢字符串的方法有多種。有時(shí)以開發(fā)人員無法想象的方式。

防止SQL注入的緩解措施

 開發(fā)人員應(yīng)實(shí)施幾種緩解措施。首先，安全立場(chǎng)應(yīng)考慮所有來自不受信任的應(yīng)用程序外部的數(shù)據(jù)。以下是典型的緩解策略：

• 將準(zhǔn)備好的語句與參數(shù)化查詢一起使用。
• 使用存儲(chǔ)過程。
• 白名單輸入驗(yàn)證。
• 轉(zhuǎn)義所有提供的輸入。

這些在OWASP速查表的SQL注入中有更詳細(xì)的描述。

測(cè)試SQL注入

一種典型的安全性方法是，在集成軟件運(yùn)行時(shí)，作為常規(guī)質(zhì)量檢查操作的一部分，執(zhí)行各種類型的安全性測(cè)試。不幸的是，功能測(cè)試不會(huì)嘗試將漏洞利用插入用戶輸入字段中，因?yàn)?大多數(shù)測(cè)試人員并不認(rèn)為自己是壞演員。

除了傳統(tǒng)上他們沒有時(shí)間或方向的事實(shí)之外。手動(dòng)測(cè)試注入類型漏洞也很困難，因為它需要嘗試許多不同的輸入組合。這是開始進(jìn)行模糊測(cè)試或模糊測(cè)試的地方。它會(huì)創(chuàng)建隨機(jī)，意外和無效的數(shù)據(jù)作為被測(cè)應(yīng)用程序的輸入。模糊測(cè)試是滲透測(cè)試的一部分，因?yàn)槟繕?biāo)是通過公開的界面公開安全漏洞。

滲透測(cè)試

滲透性測(cè)試（以及擴(kuò)展性的模糊測(cè)試）是有益的，因?yàn)樗梢园l(fā)現(xiàn)貫穿整個(gè)過程的安全性問題并揭示重要的安全性問題。但是，像所有動(dòng)態(tài)測(cè)試一樣，它完全取決于測(cè)試，代碼和API覆蓋的數(shù)量，以完全測(cè)試所有可能的排列和組合。滲透測(cè)試取決于功能測(cè)試的完整性，通常在用戶界面級(jí)別進(jìn)行。因此，請(qǐng)務(wù)必通過API測(cè)試和SAST支持滲透測(cè)試，以確保您的工作透徹。

API測(cè)試

API測(cè)試通過消除對(duì)脆弱且耗時(shí)的UI測(cè)試的依賴，有助于向左移動(dòng)功能和安全性測(cè)試。API層是許多應(yīng)用程序功能所駐留的地方，并且測(cè)試在此級(jí)別進(jìn)行更改時(shí)更具彈性，并且更易于自動(dòng)化和維護(hù)。

API級(jí)別的滲透測(cè)試

使用諸如Parasoft SOAtest之類的工具可以進(jìn)行API級(jí)別的滲透測(cè)試以暴露SQL注入，在這些工具中，可以從現(xiàn)有功能測(cè)試中創(chuàng)建自動(dòng)模糊測(cè)試，從而行使應(yīng)用程序的業(yè)務(wù)邏輯。Parasoft SOAtest與著名的滲透測(cè)試工具Burp Suite集成在一起。

使用Parasoft SOAtest執(zhí)行功能測(cè)試方案時(shí)，將捕獲測(cè)試中定義的API調(diào)用以及請(qǐng)求和響應(yīng)流量。每次測(cè)試中的Burp Suite分析工具都會(huì)將流量數(shù)據(jù)傳遞到Burp Suite應(yīng)用程序的一個(gè)單獨(dú)的運(yùn)行實(shí)例，該實(shí)例將根據(jù)其在流量數(shù)據(jù)中觀察到的API參數(shù)，使用自己的啟發(fā)式方法對(duì)API進(jìn)行滲透測(cè)試。

然后，Burp Suite分析工具將獲取Burp Suite發(fā)現(xiàn)的任何錯(cuò)誤，并將其報(bào)告為SOAtest中與訪問API的測(cè)試相關(guān)的錯(cuò)誤。Parasoft SOAtest結(jié)果將報(bào)告到Parasoft的報(bào)告和分析儀表板中。有關(guān)其他報(bào)告功能。

要了解有關(guān)此集成的更多信息，請(qǐng)參閱我們以前的滲透測(cè)試文章。有關(guān)Portswigger關(guān)于使用Burp進(jìn)行SQL注入的更多信息，請(qǐng)查看其文章。以下是與Burp集成的工作方式的表示：

將這種類型的滲透測(cè)試集成到您的CI/CD流程中是防御SQL注入和其他類型漏洞的重要組成部分。

滲透和模糊測(cè)試無疑是DevSecOps中的重要過程，并且至關(guān)重要。但是，這提出了問題。

• 測(cè)試檢測(cè)到安全漏洞時(shí)會(huì)發(fā)生什么？
• 當(dāng)軟件團(tuán)隊(duì)發(fā)現(xiàn)其大部分用戶輸入處理不安全時(shí)，會(huì)發(fā)生什么？
• 它當(dāng)然需要修復(fù)，但是要付出什么代價(jià)？

在開發(fā)的后期發(fā)現(xiàn)嚴(yán)重的安全問題會(huì)導(dǎo)致嚴(yán)重的成本和延遲。預(yù)防和檢測(cè)是將安全操作進(jìn)一步轉(zhuǎn)移到更便宜且更容易修復(fù)的地方的關(guān)鍵。

將SQL注入的檢測(cè)和消除向左移動(dòng)

在軟件開發(fā)中采用DevSecOps方法意味著將安全性集成到DevOps管道的各個(gè)方面。正如團(tuán)隊(duì)盡早在SDLC中推進(jìn)代碼分析和單元測(cè)試等質(zhì)量流程一樣，安全性也是如此。

如果團(tuán)隊(duì)更廣泛地采用這種方法，則SQL注入可能已成為過去。攻擊的增加意味著它尚未發(fā)生。無論如何，讓我們概述一種可以盡早防止SQL注入的方法。

與修補(bǔ)（和道歉！）已發(fā)布的應(yīng)用程序相比，查找和修復(fù)潛在的SQL注入（以及其他注入漏洞）可節(jié)省大量時(shí)間。單個(gè)重大事件可能使公司損失20萬美元或更多。小型企業(yè)發(fā)生許多事件。一次攻擊會(huì)造成嚴(yán)重的財(cái)務(wù)壓力，更不用說有關(guān)違規(guī)披露和保護(hù)個(gè)人身份信息的潛在監(jiān)管問題了。

下面概述的“檢測(cè)和阻止”方法基于將減輕SQL注入的風(fēng)險(xiǎn)轉(zhuǎn)移到開發(fā)的最早階段，并通過通過靜態(tài)代碼分析進(jìn)行檢測(cè)來增強(qiáng)此功能。

如何檢測(cè)SQL注入

檢測(cè)SQL注入依賴于靜態(tài)分析來在源代碼中找到這些類型的漏洞。檢測(cè)發(fā)生在開發(fā)人員的桌面和構(gòu)建系統(tǒng)中。它可以包括現(xiàn)有的、舊的和第三方代碼。

連續(xù)檢測(cè)安全問題可確保發(fā)現(xiàn)以下所有問題：

• 開發(fā)人員錯(cuò)過了IDE。
• 存在于比您的新的檢測(cè)預(yù)防方法還早的代碼中。

推薦的方法是信任但驗(yàn)證模型。安全性分析在IDE級(jí)別進(jìn)行，開發(fā)人員在該級(jí)別上根據(jù)收到的報(bào)告做出實(shí)時(shí)決策。接下來，在構(gòu)建級(jí)別進(jìn)行驗(yàn)證。理想情況下，構(gòu)建級(jí)別的目標(biāo)不是找到漏洞。這是為了驗(yàn)證系統(tǒng)是否干凈。

例如，以Parasoft的演示應(yīng)用程序Parabank為例。com.parasoft.parabank.dao.jdbc.internal中的StockDataInserter.java文件中可能存在SQL注入：

…
final String sql = sb.toString();
rows = (nextId - lastId) / JdbcSequenceDao.OFFSET;
totalRows += rows;
getJdbcTemplate().update(sql);
…

Parasoft JTest在生成時(shí)生成的報(bào)告如下：

詳細(xì)信息如下：

Call to a dangerous method
StockDataInserter.java (96): getJdbcTemplate().update(sql); *** Tainted data: SQL

追溯到先前發(fā)現(xiàn)源污染數(shù)據(jù)（來自應(yīng)用程序外部的未經(jīng)檢查、未經(jīng)驗(yàn)證的輸入）的位置：

Tainting point
StockDataInserter.java (47): return getJdbcTemplate().query(SQL, new
ResultSetExtractor<List<String>>() { *** Tainted data:
getJdbcTemplate().query(SQL, new ResultSetExtractor<List<Str...return
symbols; } })

在與SQL注入的持續(xù)斗爭(zhēng)中，開發(fā)人員需要認(rèn)真對(duì)待這些警告。在SQL查詢中任何使用未經(jīng)驗(yàn)證的數(shù)據(jù)都是嚴(yán)重的風(fēng)險(xiǎn)。即使當(dāng)前的形式可能不是一個(gè)特定的警告問題，以后的重構(gòu)也可能會(huì)暴露這些漏洞。檢查查詢字符串中使用的所有數(shù)據(jù)！

實(shí)際上，開發(fā)人員應(yīng)驗(yàn)證來自應(yīng)用程序外部的任何數(shù)據(jù)，以確保它們符合預(yù)期的格式和內(nèi)容。轉(zhuǎn)向“始終驗(yàn)證”的理念以及依靠安全編碼而不是安全測(cè)試的過程會(huì)大大提高應(yīng)用程序的安全性。開始加強(qiáng)代碼，以防止SQL注入首先被封裝。

何時(shí)以及如何防止SQL注入

防止SQL注入的理想時(shí)間和地點(diǎn)是開發(fā)人員在其IDE中編寫代碼時(shí)。采納安全編碼標(biāo)準(zhǔn)（例如C和C++的SEI CERT C和Java和.NET的OWASP Top 10或CWE Top 25）的團(tuán)隊(duì)都具有警告未驗(yàn)證SQL查詢輸入的準(zhǔn)則。

在新創(chuàng)建的代碼上運(yùn)行靜態(tài)分析既快速又簡(jiǎn)單，并且很容易集成到CI/CD流程中。在現(xiàn)階段調(diào)查所有安全警告和不安全的編碼做法是一個(gè)好習(xí)慣，以防止將此代碼寫入到內(nèi)部版本中。

檢測(cè)不良編碼實(shí)踐的同等重要的部分是報(bào)告的實(shí)用性。重要的是要能夠理解靜態(tài)分析違規(guī)的根本原因，以便快速、有效地解決它們。這就是Parasoft的C/C++test，dotTEST和Jtest等商業(yè)工具的發(fā)源地。

Parasoft的自動(dòng)測(cè)試工具可對(duì)警告進(jìn)行完整跟蹤，在IDE中進(jìn)行說明，并連續(xù)收集構(gòu)建信息和其他信息。這些收集的數(shù)據(jù)以及測(cè)試結(jié)果和指標(biāo)可提供對(duì)團(tuán)隊(duì)編碼標(biāo)準(zhǔn)合規(guī)性的全面了解。它還顯示了總體質(zhì)量和安全狀態(tài)。

這些報(bào)告包括風(fēng)險(xiǎn)模型，這些模型是OWASP，CERT和CWE提供的信息的一部分。這樣，開發(fā)人員可以更好地了解該工具報(bào)告的潛在漏洞的影響以及應(yīng)優(yōu)先考慮哪些漏洞。在IDE級(jí)別生成的所有數(shù)據(jù)都與上面概述的下游活動(dòng)相關(guān)。

總結(jié)

臭名昭著的SQL注入漏洞繼續(xù)困擾著Web應(yīng)用程序。盡管知道它是如何工作和可以被利用的，但它仍然很普遍。有關(guān)最新示例，請(qǐng)參見。

我們提出一種預(yù)防和檢測(cè)方法來補(bǔ)充主動(dòng)安全測(cè)試。這種方法可防止在寫入代碼之前盡早在SDLC中進(jìn)行SQL注入。防止在IDE上進(jìn)行SQL注入并在CI/CD管道中檢測(cè)到它們是將其路由到軟件之外的關(guān)鍵。最后，在使用滲透測(cè)試技術(shù)的測(cè)試過程中查找并修復(fù)這些錯(cuò)誤。

與SQL注入（以及其他受污染數(shù)據(jù)的利用）的斗爭(zhēng)仍在繼續(xù)。精明的團(tuán)隊(duì)可以在他們現(xiàn)有的工作流程中以正確的流程、工具和自動(dòng)化扭轉(zhuǎn)局面。