份和导入恢复MSSQL数据库的解决方案,两款工具都是myLittleTools公司开发的商业软件。 在抵御CSPP攻击上都存在一定的漏洞。当端口处于监听状态或已经打开,则返回的错误消息内容为:没有任何SQL Server服务器监听此端口,但TCP连接已经建立。当使用一个未开放的端口尝试连接google 服务器时,则返回的错误消息又不相同,显然,根据目标server返回的错误消息,则可判断当前连接的端口是否开启,借助上面的两 个工具即可实现黑客感兴趣的任意server进行端口扫描。当然,这种技术也可挖掘出DMZ区 内部的server是否存在。 2.4 CSPP攻击3:劫持Web实体身份 攻击者尝试使用web应用程序的系统账户链接数据库,相应的连接字符串注入手法: Data source = SQL2005; initial catalog = db1;integrated security=no; user id=;Data Source=Target Server, Target Port; Password=; Integrated Security=true; 连接字符串中“Integrated Security”参数被覆盖为ture,即系统将会尝试使用系统账户连接 数据库,此账户即web服务器上web应用程序使用的账户。(注:一般情况下,当Integrated Security设置为false时,将在连接中指定用户ID和密码。 若为true时,将使用当前的Windows 帐户凭据进行身份验证。) (1) 实例:web版SQL Server管理器 微软开发的一款基于web访问方式的SQL Server数据库管理器,是一个免费的开源工具。 可从http://www.microsoft.com/downloads/details.aspx?FamilyID=c039a798-c57a-419e-acbcz- 2a332cb7f959&displaylang=en站点上下载到04年微软发布的一个版本;07年发布最新版本读 者可以在Codeplex站点获取到http://sqlwebadmin.codeplex.com/.此工具开发的目的即便于远 程管理和维护数据库;Codeplex站点上提供的版本对CCSP攻击是完全免疫的,因为它只支 持ConnectionStringBuilder类动态地创建连接字符串;然而在微软站点上发布的04版本则存在 CSPP攻击漏洞;图5展示了使用CCSP攻击成功访问到系统的可能性,在密码输入框中键入 “; integrated Security=true”,攻击者可成功登录到数据库管理界面,对系统进行管理。 大多数情况下,程序开发者会选择使用唯一用户来连接数据库。从数据库角度来看,此 类数据库用户代表整个应用程序。使用此类连接,web应用程序会查询其实现存储的实体身 份表确认用户连接的合法性。 Web应用程序是由具有访问数据库中整个应用程序内容的单一 数据库用户标识,故它不可能做到数据库不同对象的颗粒度访问或者跟踪Web 应用程序中 的每个用户动作。若攻击者能够利用程序中的某个漏洞访问到数据库,则整个数据库将全部 暴露。这种体系架构非常普通,大量的内容管理系统使用此架构,如比较优秀的CMS系统: joomla、Mambo 等。通常,攻击者目的是想从数据库用户表中获取访问特定应用的用户实 SqlConnection mysql = new SqlConnection("data source=localhost;integrated security=true;initial catalog=myexample"); 而且可使用不同的标准接口连接 SQL Server: “.NET Framework Data Provider for OLE DB” “.NET Framework Data Provider for ODBC” “SQL Native Client 9.0 OLE DB provider” 体身份。 另一种认证方式即将认证交给数据库引擎。故,连接字符串不需要包含一套固定的身份 实体,而是由应用程序用户键入用户身份,然后由数据库引擎来检验,例如当用户使用指定 的登录名和密码从不可信连接进行连接时,SQL Server 将通过检查是否已设置 SQL Server 登录帐户以及指定的密码是否与以前记录的密码匹配,自行进行身份验证。数据库管理程序 总是使用这种代理认证方式,即连接访问某类应用的用户仅仅能访问并控制该用户权限内的 对象。在这个架构下,则可实现用户级的权限控制并在数据库中跟踪用户执行的任何动作。 连接字符串注入 在代理认证环境下,当使用动态字符串串联根据用户输入生成连接字符串时,可能发生 连接字符串注入式攻击。 如果未验证字符串并且未转义恶意文本或字符,则攻击者可能会 访问服务器上的敏感数据或其他资源。连接字符串注入攻击技术允许攻击者使用分号在已有 |
