SQL 盲注漏洞（时序攻击）

high Web App Scanning 插件 ID 98118

语言：

简介

SQL 盲注漏洞（时序攻击）

描述

由于当今 Web 应用程序对动态内容的要求，许多应用程序使用数据库后端来存储将由 Web 应用程序（或其他程序）调用和处理的数据。Web 应用程序使用结构化查询语言 (SQL) 查询来检索数据库中的数据。

为满足许多开发人员的需求，数据库服务器（如 MSSQL、MySQL、Oracle 等）具有额外的内置功能，允许用户对数据库进行广泛的控制并与主机操作系统本身进行交互。

如果未事先审查客户端请求中的值便将其用于 SQL 查询，就会发生 SQL 注入。网络犯罪分子可借此执行任意 SQL 代码并窃取数据，或使用数据库服务器的其他功能来控制更多服务器组件。

SQL 注入是最常见的一个 Web 应用程序漏洞，一旦攻击成功，会给组织造成灾难性后果。

扫描程序能够注入特定的 SQL 查询，所以我们检测到此注入漏洞。如果攻击此漏洞，可导致服务器延迟发出每个请求的响应，这称为基于时间的 SQL 盲注漏洞。

解决方案

若要在保持完整应用程序功能的同时防止 SQL 注入攻击，唯一可靠的方法是使用参数化查询（也称为“预处理语句”）。利用此数据库查询方法时，客户端提供的任何值都将被视为字符串，而不是 SQL 查询的一部分。
此外，当利用参数化查询时，数据库引擎将自动检查以确保使用的字符串匹配列的字符串。例如，如果数据库列配置为包含整数，则数据库引擎将检查用户提供的输入是否为整数。