一个月前我的个站被攻击了，然后今天收到了一份来自360的漏洞检测报告，我的天360还干这种事？ sql注入漏洞链接1： http: //xxx.com:80/index.php?alias=message&action=comment?comment-diary-id=1&comment-ip=182.118.33.8&comment-author=88888&comment-email=hacker@hacker.org&comment-url=http: //www.hacker.org/&comment-text=88888&comment-submit=SEND&comment-parent=0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) 漏洞链接2： http: //xxx.com:80/index.php?alias=message' AND SLEEP(5)%20%23 漏洞链接3： http: //xxx.com:80/index.php?cat=note' AND 'dSob'='dSob xss 漏洞链接: http: //xxx.com:80/admin/login.php?req_url=/admin/index.php"><script>alert(42873)</script> 我在写入数据库时有使用addslashes为什么还会被注入？链接1和链接2要合在一起才会被注入吗？对于第二个漏洞，我不太清楚应该怎么防御。对站点安全研究不深入，请教大家给分析一下这是怎么实现的，以及如何修复漏洞，谢谢。如果需要写入数据库的代码我再贴上。 PS，写链接会被sf自动缩短，所以在 http: 后面都加了个空格。 debug过了，的确是可以注入...对sql还是不够了解最终写入数据库的语句是： insert into comment values(NULL,1,1497261734,'88888',0,'hacker@hacker.org','http://www.hacker.org/','182.118.33.8','88888',0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23); 想请教一下最后一句是什么意思 0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23

以下是个人见解： 0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23 里面的 %20%23 后端程序接收后会变成“ #”（空格+井号），sql语句中#会注释掉其后的语句。因此在未过滤的情况下，sql执行的是 0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5) # ；从sleep()可以看出来，攻击者试图通过基于时间差的盲注来达到攻击的目的。运行如下语句： SELECT 0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5); 你会发现语句执行了5秒，如果把里面的4725=4725改成4725=4726，那么sql语句就会报错，这是只执行了0秒，通过0秒和5秒的差距，攻击者就可以知道自己的sql语句是否执行正确；这就是基于时间差的盲注的原理；刚才那个sql语句还不具有攻击性，如果用下面这个就危险了： SELECT 0 RLIKE (SELECT (CASE WHEN (LENGTH(DATABASE()))=4 THEN 0 ELSE 0x28 END)) AND SLEEP(5); 这个sql语句是判断我的数据库表名的长度是不是4，我的数据库名是news，所以执行了5秒，攻击者最终是可以猜出我的数据库名的（通过各种sql函数）。产生注入的原因还是没有对客户端传过来的值进行有效过滤，至于过滤的方法，网上有很多，楼上也说了，另外采用addslashes过滤是不安全的，可以被绕过。

最好使用参数化查询，而不要使用SQL语句拼接的方式。 xss可以通过参数过滤，将类似 <script> 这样的脚本代码过滤掉。

既然已经有人回答了攻击原理, 那么我就说说如何防御. 对与sql注入如参数为数字型,入库语句最好加个强制转换 (int) ,或将字符串拼接sql改成预处理语句.在数据库配置文件中开启严格模式并重启. xss可以引用外部工具(HTMLPurifier扩展)来过滤,毕竟自写的方法覆盖不全.

关于sql注入和xss的具体实例分析

kiwi

33075271

发布于
2017-06-12

更新于
2017-06-12

一个月前我的个站被攻击了，然后今天收到了一份来自360的漏洞检测报告，我的天360还干这种事？

sql注入
漏洞链接1：
http: //xxx.com:80/index.php?alias=message&action=comment?comment-diary-id=1&comment-ip=182.118.33.8&comment-author=88888&comment-email=hacker@hacker.org&comment-url=http: //www.hacker.org/&comment-text=88888&comment-submit=SEND&comment-parent=0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END))
漏洞链接2：
http: //xxx.com:80/index.php?alias=message' AND SLEEP(5)%20%23
漏洞链接3：
http: //xxx.com:80/index.php?cat=note' AND 'dSob'='dSob
xss
漏洞链接:
http: //xxx.com:80/admin/login.php?req_url=/admin/index.php"><script>alert(42873)</script>

我在写入数据库时有使用addslashes为什么还会被注入？链接1和链接2要合在一起才会被注入吗？
对于第二个漏洞，我不太清楚应该怎么防御。
对站点安全研究不深入，请教大家给分析一下这是怎么实现的，以及如何修复漏洞，谢谢。
如果需要写入数据库的代码我再贴上。

PS，写链接会被sf自动缩短，所以在http:后面都加了个空格。

debug过了，的确是可以注入...对sql还是不够了解

最终写入数据库的语句是：

insert into comment values(NULL,1,1497261734,'88888',0,'hacker@hacker.org','http://www.hacker.org/','182.118.33.8','88888',0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23);

想请教一下最后一句是什么意思

0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23

sql注入 php xss

阅读 5.1k

5 个回答

darkesthours

✓ 已被采纳

以下是个人见解：

0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23 里面的 %20%23 后端程序接收后会变成“ #”（空格+井号），sql语句中#会注释掉其后的语句。因此在未过滤的情况下，sql执行的是 0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5) #；
从sleep()可以看出来，攻击者试图通过基于时间差的盲注来达到攻击的目的。运行如下语句：
```
SELECT 0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5);
```
你会发现语句执行了5秒，如果把里面的4725=4725改成4725=4726，那么sql语句就会报错，这是只执行了0秒，通过0秒和5秒的差距，攻击者就可以知道自己的sql语句是否执行正确；这就是基于时间差的盲注的原理；
刚才那个sql语句还不具有攻击性，如果用下面这个就危险了：
```
SELECT 0 RLIKE (SELECT (CASE WHEN (LENGTH(DATABASE()))=4 THEN 0 ELSE 0x28 END)) AND SLEEP(5);
```
这个sql语句是判断我的数据库表名的长度是不是4，我的数据库名是news，所以执行了5秒，攻击者最终是可以猜出我的数据库名的（通过各种sql函数）。
产生注入的原因还是没有对客户端传过来的值进行有效过滤，至于过滤的方法，网上有很多，楼上也说了，另外采用addslashes过滤是不安全的，可以被绕过。