ASP注入漏洞全接触(2)

第二节、判断能否进行SQL注入

　　看完第一节，有一些人会觉得：我也是经常这样测试能否注入的，这不是很简单吗？

　　其实，这并不是最好的方法，为什么呢？

　　首先，不一定每台服务器的IIS都返回具体错误提示给客户端，如果程序中加了cint(参数)之类语句的话，SQL注入是不会成功的，但服务器同样会报错，具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。

　　其次，部分对SQL注入有一点了解的程序员，认为只要把单引号过滤掉就安全了，这种情况不为少数，如果你用单引号测试，是测不到注入点的

　　那么，什么样的测试方法才是比较准确呢？答案如下：

　　① http://www.mytest.com/showdetail.asp?id=49

　　② http://www.mytest.com/showdetail.asp?id=49 ;and 1=1

　　③ http://www.mytest.com/showdetail.asp?id=49 ;and 1=2

　　这就是经典的1=1、1=2测试法了，怎么判断呢？看看上面三个网址返回的结果就知道了：

　　可以注入的表现：

　　① 正常显示（这是必然的，不然就是程序有错误了）

　　② 正常显示，内容基本与①相同

　　③ 提示BOF或EOF（程序没做任何判断时）、或提示找不到记录（判断了rs.eof时）、或显示内容为空（程序加了on error resume next）

　　不可以注入就比较容易判断了，①同样正常显示，②和③一般都会有程序定义的错误提示，或提示类型转换时出错。

　　当然，这只是传入参数是数字型的时候用的判断方法，实际应用的时候会有字符型和搜索型参数，我将在中级篇的“SQL注入一般步骤”再做分析。

　　第三节、判断数据库类型及注入方法

　　不同的数据库的函数、注入方法都是有差异的，所以在注入之前，我们还要判断一下数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer，网上超过99%的网站都是其中之一。

　　怎么让程序告诉你它使用的什么数据库呢？来看看：

　　SQLServer有一些系统变量，如果服务器IIS提示没关闭，并且SQLServer返回错误提示的话，那可以直接从出错信息获取，方法如下：

　　http://www.mytest.com/showdetail.asp?id=49 ;and user>0