宽字节注入漏洞原理以及修复方法

漏洞名称:宽字节注入

漏洞描述:

宽字节注入是相对于单字节注入而言的，该注入跟HTML页面编码无关，宽字节注入常见于mysql中，GB2312、GBK、GB18030、BIG5、Shift_JIS等这些都是常说的宽字节，实际上只有两字节。宽字节带来的安全问题主要是吃ASCII字符（一字节）的现象，当%df’ 被PHP转义（开启GPC、用addslashes函数，或者icov等），单引号被加上反斜杠\，变成了 %df\’，其中\的十六进制是 %5C ，那么现在 %df\’ = %df%5c%27，如 果 程 序 的 默 认 字 符 集 是 GBK等 宽 字 节 字 符 集 ， 则 MYSQL用 GBK的 编 码 时 ， 会 认为 %df%5c 是一个宽字符，也就是x’，也就是说：%df\’ = %df%5c%27=x’，有了单引号可以注入了.

检测条件:

1、 Web业务运行正常。
2、 Php+mysql的搭配，则需要进行检测。

检测方法:

检测时，了解了其原理为：php 使用php_escape_shell_cmd这个函数来转义命令行字符串时是作为单字节处理的 而当操作系统设置了GBK、EUC-KR、SJIS等宽字节字符集时候，将这些命令行字符串传递给MySQL处理时是作为多字节处理的，如：http://localhost/gbk.php?username=%df%27 //多字节编码
%df%27=運' //看，出单引号了，后面就可以构造了
http://localhost/test/b.php?username=%df%27 or1%23
sql语句类似这样: SELECT * FROMdemo WHERE username = '運' or 1#' LIMIT 1
这样就可以注入，或者id=%df’%20or%201=1%20limit%201,1%23&pass=

修复方案:

1、 改Windows下的MySQL配置文件一般是 my.ini，Linux下的MySQL配置文件一般是my.cnf，在初始化连接和字符集之后，使用SET character_set_client=binary来设定客户端的字符集是二进制的。character_set_client指定的是SQL语句的编码，如果设置为 binary，MySQL就以二进制来执行，这样宽字节编码问题就没有用武之地，如:

mysql_query(‛SET character_set_client=binary‛);

2、 转义数据：一些合法的数据可能在无意中破坏 SQL 语句本身的格式。使用
mysql_escape_string() 或者所使用数据库提供的转移函数。如果没有提供这样的 函 数 ， addslashes() 也 是 不 错 的 最 后 选 择 . 原 理 是 ，mysql_real_escape_string与addslashes的不同之处在于其会考虑当前设置的字符集，不会出现前面e5和5c拼接为一个宽字节的问题。