SQL注入的流量特征

一、SQL注入简介

Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中，再在后台 Sql 服务器上解析执行进行的攻击，它目前黑客对数据库进行攻击的最常用手段之一。

二、SQL 注入带来的威胁

Sql 注入带来的威胁主要有如下几点

• 猜解后台数据库，这是利用最多的方式，盗取网站的敏感信息。
• 绕过认证，列如绕过验证登录网站后台。
• 注入可以借助数据库的存储过程进行提权等操作

三、SQL注入的流量特征

1.参数长度异常：攻击者通常会在SQL注入攻击中使用长参数来尝试构建恶意语句，因此在网络流量中需要寻找异常长度的参数。
2.非法字符：攻击者通常使用非法字符来构建恶意SQL语句，如单引号、分号等。
3.异常请求：攻击者可能会在HTTP请求中包含多个语句或查询，或者在HTTP请求中包含错误或缺失的参数。
4.错误响应：如果应用程序未正确处理SQL注入攻击，则可能会返回错误响应。攻击者可以通过分析响应以查找此类错误，并尝试进一步攻击。
5.非常规流量：攻击者可能会在较短时间内发送大量请求，或在同一时间窗口内多次发送相同请求。这种非常规流量模式可能表明攻击正在进行中。

1、出现一些特殊字符{eg：单引号--'、双引号--""、括号--()、单引号括号--'(、双引号括号--"(等一些常见的特殊的字符}；

      eg：http://localhost/index.php/?id=1'and+1=1--+

      eg：http://localhost/index.php/?id=1 and 1=1 -- -和1 and 1=2 --+

2、出现SQL命令/语句（增加、删除、修改、查询语句或者各语句之间的串接）

eg：url/?id=1" union select updatexml(1,concat(0x7e,(select group_concat(username) from users),0x7e),1) -- -

eg：url/?id=-1' union select 1,group_concat(schema_name),3 from  information_schemaschemata --+

3、出现注释符号（在语句的最后出现连续2个减号字元 -- 后的    文字为注解，或“/*”与“*/”所包起来的文字为注解）

4、在url上出现万能密码字段  'or'1'='1

5、出现常见的特殊函数

database()、updatexml()、extractvalue()、group_concat()、concat()、limit()、order by()、unsion()、system_user()、version()、load_file()、seelp()、length()、exp()、group by()、substr()、and、or等函数。

eg：?id=1” and updatexml(1,concat(0x7e,database()),3) --+

eg：?id=-1’ union select 1,2,seelp(5)--+

eg：1” union select updatexml(1,concat(0x7e,(select     group_concat(username) from users)),1) #

6、出现各种编码（eg：url编码，base64编码等）可利用Burp或 者在线解/编码器进行操作查看是否有特殊字段。
7、user-agent字段出现sqlmap/1.*.*.*#dev (http://sqlmap.org)