跳转至

T1190-可疑的SQL错误消息

ATT&CK描述

面向公众应用的利用指的是攻击者利用面向Internet的计算机系统或程序的弱点,使用软件、数据或命令来造成意外行为。系统弱点可能是缺陷、故障或设计漏洞。这些应用通常是网站,但也可以包括数据库(如SQL),标准服务(如SMB或SSH),以及任何带有可通过Internet访问的开放套接字的应用(如web服务器和相关服务)。面向公众应用的利用可能包括防御逃逸目的的利用,具体取决于被利用的弱点。

如果应用程序托管在云化基础架构上,则利用此应用可能会破坏底层实例。攻击者可能会利用此漏洞通过调用云API或利用弱身份和访问管理策略来实施攻击。

OWASP(开放式web应用程序安全项目)前10名和CWE(通用缺陷列表)前25名突出显示了网站和数据库最常见的web漏洞。

测试案例

暂无

检测日志

数据库错误日志

测试复现

暂无

测试留痕

Oracle报错信息

quoted string not properly terminated

MySQL报错信息

You have an error in your SQL syntax

SQL Server报错信息

Unclosed quotation mark

SQLite报错信息

'near "*": syntax error'

SELECTs to the left and right of UNION do not have the same number of result columns

检测规则/思路

Sigma规则

title: 可疑的SQL错误消息
status: 实验阶段
description: 检测指示对注入攻击进行探测的SQL错误消息
author: Bjoern Kimminich
Translator: 12306Bro
date: 2020/8/6
references:
    - http://www.sqlinjection.net/errors
logsource:
    category: application
    product: sql
detection:
    keywords:
        # Oracle
        - quoted string not properly terminated
        # MySQL
        - You have an error in your SQL syntax
        # SQL Server
        - Unclosed quotation mark
        # SQLite
        - 'near "*": syntax error'
        - SELECTs to the left and right of UNION do not have the same number of result columns
    condition: keywords
falsepositives:
    - Application bugs
level: high

建议

暂无

参考推荐

MITRE-ATT&CK-T1190

https://attack.mitre.org/techniques/T1190/

Oracle报错信息

https://blog.csdn.net/rshp_520/article/details/44620463

MySQL报错信息

https://blog.csdn.net/attack_5/article/details/83548346

SQL Server报错信息

https://blog.csdn.net/dadaowuque/article/details/81016127

SQLite报错信息

https://blog.csdn.net/www121104115/article/details/75051685