User Agent注入攻击及防御

标签: WEB安全 | 发表时间:2016-05-24 00:39 | 作者:xiaix
出处:http://www.freebuf.com

sql.jpg

CloudFlare公司经常会收到客户询问为什么他们的一些请求会被 CloudFlare WAF 屏蔽。最近,一位客户就提出他不能理解为什么一个访问他主页简单的 GET 请求会被 WAF 屏蔽。

下面是被屏蔽的请求:

  GET / HTTP/1.1
Host: www.example.com
Connection: keep-alive
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (compatible; MSIE 11.0; Windows NT 6.1; Win64; x64; Trident/5.0)'+(select*from(select(sleep(20)))a)+' 
Accept-Encoding: gzip, deflate, sdch
Accept-Language: en-US,en;q=0.8,fr;q=0.6

正如他说的,一个简单的请求访问 WEB 主页,乍看之下好像没什么问题。除非你仔细查看 User-Agent 部分:

  Mozilla/5.0 (compatible; MSIE 11.0; Windows NT 6.1; Win64; x64; Trident/5.0)'+(select*from(select(sleep(20)))a)+

User-Agent 前半部分看起来挺正常的(好像是微软 IE 11),但是却以字符串 '+(select*from(select(sleep(20)))a)+ 结尾。攻击者试图对 User-Agent 值进行 SQL 注入。

普通的 SQL 注入通常是对 URL 及其参数进行的,但这里攻击者却将 SQL 查询语句 select * from (select(sleep(20))) 隐藏在了 HTTP 头部的 User-Agent 字段之中 。这种技术通常被各种扫描器所使用,例如,sqlmap 的 -p 参数会尝试对 HTTP 请求头部字段进行注入。

延时注入

许多 SQL 注入都是在尝试从网站中提取信息(例如用户名、密码或其他隐私信息)。但这条语句却不太一样,它请求数据库进程等待 20 秒。这种攻击属于 SQL 盲注,一般的 SQL 注入会将查询的结果返回到 WEB 页面中,而盲注的攻击者则看不到查询的输出,所以他们会另辟蹊径使用其他的方式来判断注入。两种常见的方法就是使 WEB 服务器产生错误或者产生延时。如上使用 sleep 会是 WEB 服务器等待 20 秒才进行响应,攻击者可以根据响应是否产生延时来判断是否存在注入漏洞。

示例

为了更好的说明,我使用 PHP 创建了一个不安全的应用,其中会将 User-Agent 保存到 MySQL 数据库中。这类代码可能会存在于真实的应用中用来分析信息,例如统计访问次数。

在这个示例中,我忽略了所有良好安全的编码习惯,因为我想阐述下 SQL 的工作原理。

再次警告:千万不要复制/粘贴以下代码!因为这些代码并不规范。

下面是 PHP 代码:

  <?php

$link = new mysqli('localhost', 'insecure', '1ns3cur3p4ssw0rd', 'analytics');

$query = sprintf("INSERT INTO visits (ua, dt) VALUES ('%s', '%s')",
       $_SERVER["HTTP_USER_AGENT"],
       date("Y-m-d h:i:s"));

$link->query($query);

?>

<html><head></head><body><b>Thanks for visiting</b></body></html>

这段代码会连接到本地的 analytics 数据库,并将访客 HTTP 头部的 User-Agent 字段不加过滤的插入到数据库中。

这就是一个 SQL 注入的例子,但是因为我们的代码不会产生任何错误,所以攻击者无法通过报错来得知是否存在注入漏洞,除非他们使用类似 sleep() 之类的方法。

为了验证是否存在注入漏洞,只需要执行如下命令(其中 insecure.php 就是上述示例代码):

  curl -A "Mozilla/5.0', (select*from(select(sleep(20)))a)) #" http://example.com/insecure.php

这样就会将 HTTP 头部的 User-Agent 字段设置为 Mozilla/5.0', (select*from(select(sleep(20)))a)) #。而我们不安全的 PHP 代码会不加过滤就直接将这些字符串插入查询语句中,此时的查询语句变成了如下样子:

  INSERT INTO visits (ua, dt) VALUES ('Mozilla/5.0', (select*from(select(sleep(20)))a)) #', '2016-05-17 03:16:06')

本来应该插入两个值,但现在只会插入一个值 Mozilla/5.0 并执行 (select*from(select(sleep(20)))a) 语句(这会使数据库休眠 20 秒)。而 # 是注释符,意味着后续的语句被注释并忽略了(就是忽略了插入日期)。

此时的数据库中会出现这样一个条目:

  +---------------------+---------------+
| dt                  | ua            |
+---------------------+---------------+
| 0                   | Mozilla/5.0   |
+---------------------+---------------+

请注意,其中日期值为 0,这正是 (select*from(select(sleep(20)))a) 语句执行的结果,另外 ua 的值为 Mozilla/5.0,而这可能就是攻击者成功执行 SQL 注入后留下的唯一痕迹了。

下面是接收到上述请求后服务器的运行结果,我们使用 time 命令来看看这个过程到底需要多长时间:

  $ time curl -v -A "Mozilla/5.0', (select*from(select(sleep(20)))a) #" http://example.com/insecure.php
* Connected to example.com port 80 (#0)
> GET /insecure.php HTTP/1.1
> Host: example.com
> User-Agent: Mozilla/5.0', (select*from(select(sleep(20)))a) #
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Mon, 16 May 2016 10:45:05 GMT
< Content-Type: text/html
< Transfer-Encoding: chunked
< Connection: keep-alive
< Server: nginx

<html><head></head><body><b>Thanks for visiting</b></body></html>
* Connection #0 to host example.com left intact

real   0m20.614s
user   0m0.007s
sys    0m0.012s

看到 20 秒了吗,成功的执行了 SQL 注入。

漏洞利用

看到这,你也许会想“这的确很简单,但是黑客好像并没有攻击我的网站啊”。

但不幸的是,丰富的 SQL 语句使得哪怕是只有 3 行 PHP 代码的 insecure.php,也可以使得攻击者获得远不只使数据库睡眠 20 秒的效果。虽然攻击者执行的 INSERT INTO 的查询只会向数据库中写入数据,但这样仍然可以让他们提取出敏感信息和获取访问权限。

为了一个演示的例子,我们在数据库中创建了一个名为 user 的表,其中包含两个用户分别名为 rootjohn。下面来展示攻击者是如何发现存在 john 用户的,他们可以手工构造用户名并根据相应时间来判断是否存在这个用户。

例如:

  curl -A "Mozilla/5.0', (select sleep(20) from users where substring(name,1,1)='a')) #" http://example.com/insecure.php

这个访问会被立即响应,因为数据库中并没有以 a 打头的用户名,但是

  curl -A "Mozilla/5.0', (select sleep(20) from users where substring(name,1,1)='j')) #" http://example.com/insecure.php

这个请求却会花费 20 秒时间。这样在猜出用户名的首字母后,攻击者就可以继续猜测用户名第二个、第三个字母等等,相同的技术还可以用来从数据库中提取其他数据。

如果我们的应用比较复杂,例如是一个博客的评论系统,那么我们可以利用这个漏洞将数据库的一些信息转存到一条评论中,这样我们就可以通过访问网页直接查看到数据库信息了,这种方法通常会在需要提取大量数据时使用。

代码加固

加固代码最好的方式就是像如下这样:

  <?php

$link = new mysqli('localhost', 'analytics_user', 'aSecurePassword', 'analytics_db');

$stmt = $link->prepare("INSERT INTO visits (ua, dt) VALUES (?, ?)");
$stmt->bind_param("ss", $_SERVER["HTTP_USER_AGENT"], date("Y-m-d h:i:s"));
$stmt->execute();

?>

<html>
<head></head>
<body><b>Thanks for visiting</b></body>

首先将 SQL 查询语句使用 prepare 进行准备,随后使用 bind_param 绑定两个参数( User-Agent 和日期),最后才是使用 execute 执行查询。

bind_param 可以确保一些 SQL 特殊字符会先被进行转义,随后才被执行。现在让我们来看一看在收到跟之前一样的 SQL 注入后数据库中的条目是什么样子的:

  +---------------------+----------------------------------------------------+
| dt                  | ua                                                 |
+---------------------+----------------------------------------------------+
| 2016-05-17 04:46:02 | Mozilla/5.0',(select*from(select(sleep(20)))a)) #  |
+---------------------+----------------------------------------------------+

此时,攻击者的 SQL 语句没有被执行而是被简单的存入了数据库当中。

总结

SQL 注入是攻击者最喜欢使用的攻击方式之一,它可能出任何由攻击者掌控输入的 WEB 应用中。最容易想象的就是出现在各种表单或 URL 之中,但即使是 HTTP 请求头部也同样可能出现。所以从安全角度来说,任何由 WEB 浏览器发送给 WEB 应用的数据都应当被假设为是恶意的。

*原文: cloudflare,FB小编xiaix编译,转自须注明来自FreeBuf黑客与极客(FreeBuf.COM)

相关 [user agent 攻击] 推荐:

User Agent注入攻击及防御

- - FreeBuf.COM | 关注黑客与极客
CloudFlare公司经常会收到客户询问为什么他们的一些请求会被. CloudFlare WAF 屏蔽. 最近,一位客户就提出他不能理解为什么一个访问他主页简单的 GET 请求会被 WAF 屏蔽. 正如他说的,一个简单的请求访问 WEB 主页,乍看之下好像没什么问题. 除非你仔细查看 User-Agent 部分:.

不用插件修改 Chrome 的 User Agent 字符串、模拟移动触屏设备

- - Chrome迷
今天发现了 Chrome 上一个修改 User Agent 字符串的新方法,甚至还能模拟触屏设备,手动改变你所在的位置(经纬度). 1、打开 Chrome 的”开发者工具”,也就是菜单——工具——开发者工具. 2、在打开的开发者工具(Developer Tools)界面的右下角,点击黑色齿轮图标. 3、然后在黑底界面中点击”Overrides”标签页就能看到了.

user-select介绍

- - 前端观察
之前在《 CSS的未来:一些试验性CSS属性》中有提到user-select这个属性,最近整理的时候有遇到,所以详细的了解了下,这里简单的介绍下. 这是在css3 UI规范中新增的一个功能,用来控制内容的可选择性. auto——默认值,用户可以选中元素中的内容. none——用户不能选择元素中的任何内容.

NUI自然用户界面(Natural User Interface)

- - IT技术博客大学习
    NUI不是一个新名词.      只是经历近年的一些新产品,有了更贴切的感受.      特别是消费电子终端界面CLI、GUI、NUI的变化. 在桌面端,对象通常是显示固定的屏幕,设计师专注于键鼠驱动下的视觉效果. 到了移动端,拥有更多传感器与交互方式,便携使得移动设备不限时空,传统专注于固定场景与操作的设计思路不合时宜.

SSL Troubleshooting and Reference Guide - CAS User Manual - Apereo Wiki

- -
This section contains the most often-cited SSL errors reported by the CAS server and CAS clients in typical CAS integration scenarios.. If the certificate is issued by your own PKI, it is better to import the root certificate of your PKI into the CAS client truststore.

Designing For The Multifaceted User—为多层面用户而设计

- - 微博UDC
本文的作者Stephanie Troeth可谓一个用户体验策略专家,在此文中,作者介绍了一种非常新颖的用户体验工具,也可以说是一种方法. 这种方法结合了坐标轴和矩阵图,弥补了用户角色、用户旅程、心理模型等常见用户建模方法的不足,并通过一款APP设计带读者感受了一番其中的独到之处. 这种方法简单易上手,非常适合小团队敏捷开发,同样也适用于大团队成员间、利益关系者间的交流,降低沟通成本.

User Story用户情景与用例规约

- - 牛国柱
【说明】产品经理在描述需求阶段,经常会利用UML语言中的用例图(Use Case)来描述需求,但在敏捷开发Scrum中,往往会把需求拆分为User Story. 对Use Case和User Story的区别,很多时候会分不清楚. 本文转载自 http://www.uml.org.cn/RequirementProject/20112224.asp,对此进行了详细的比较和说明.

为豆瓣电影实现User-based协同过滤的推荐系统

- - 鸟窝
协同过滤(Collaborative Filtering),简单来说是利用某兴趣相投、拥有共同经验之群体的喜好来推荐使用者感兴趣的信息,个人透过合作的机制给予信息相当程度的反馈(如评分)并记录下来以达到过滤的目的进而帮助别人筛选信息,反馈不一定局限于特别感兴趣的,特别不感兴趣信息的纪录也相当重要,比如浏览信息,收藏,分享,点击等.

session fixation攻击

- - 互联网 - ITeye博客
什么是session fixation攻击. Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的. 在维基百科中专门有个词条 http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻击情景,防范策略参考原文.