cookie注入攻擊

cookie注入攻擊的測(cè)試地址：http://127.0.0.1/sqli/cookie.php。

發(fā)現(xiàn)URL中沒有GET參數(shù)，但是頁(yè)面返回正常，使用Burp Suite抓取數(shù)據(jù)包，發(fā)現(xiàn)cookie中存在id=1的參數(shù)，如圖56所示。

圖56　cookie數(shù)據(jù)

修改cookie中的id=1為id=1'，然后再次訪問該URL，發(fā)現(xiàn)頁(yè)面返回錯(cuò)誤。接下來，分別修改cookie中id=1 and 1=1和id=1 and 1=2，再次訪問，判斷該頁(yè)面是否存在SQL漏洞，返回結(jié)果如圖57和圖58所示，得出cookie中的參數(shù)ID存在SQL注入的結(jié)論。

圖57　訪問id=1 and 1=1的結(jié)果

圖58　訪問id=1 and 1=2的結(jié)果

接著使用order by查詢字段，使用Union注入方法完成此次注入。

cookie注入代碼分析

通過$_COOKIE能獲取瀏覽器cookie中的數(shù)據(jù)，在cookie注入頁(yè)面中程序通過$_COOKIE獲取參數(shù)ID,然后直接將ID拼接到select語(yǔ)句中進(jìn)行查詢，如果沒有結(jié)果，則將結(jié)果輸出到頁(yè)面，代碼如下所示。

<?php
$id = $_COOKIE['id'];
$value = '1';
setcookie("id","$value");
$con = mysqli_connect("localhost","root","root","test");
if(mysqli_connect_error())
{
    echo "連接失敗" . mysqli_error($con) ;
}
$result = mysqli_query($con,"select * from users where id=$id ");
if(!$result)
{
    printf("Error: %s\n", mysqli_error($con));
    exit();
}
$row = mysqli_fetch_array($result);
echo $row{'username'} ." : ". $row{'password'};
echo "<br>";
?>

這里可以看到，由于沒有過濾coookie中的參數(shù)ID且直接拼接到SQL語(yǔ)句中，所以存在SQL注入漏洞。當(dāng)在cookie中添加id=1 union select 1,2,3–+時(shí)執(zhí)行的SQL語(yǔ)句為：

select * from users where `id`=1 union select 1,2,3--+

此時(shí)，SQL語(yǔ)句可以分為select * from users where `id`=1和union select 1,2,3兩條，利用第二條語(yǔ)句（Union查詢）就可以獲取數(shù)據(jù)庫(kù)中的數(shù)據(jù)。

以上就是Web網(wǎng)絡(luò)安全解析cookie注入攻擊原理的詳細(xì)內(nèi)容，更多關(guān)于Web網(wǎng)絡(luò)安全cookie注入攻擊的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！