Security Tesint: Sql injection

Security Testing: SQL Injection

Сергей Полаженко, SQALab

Тестирование безопасности

Этапы тестирования безопасности

Уровни тестирования безопасности

• Нормативно-правовой• Организационный• Технический• Физический

Основная проблема безопасности

Что такое SQL Injection

Что такое SQL Injection? (1/2)

Что такое SQL Injection? (2/2)

Почему SQL Injection (1/3)

Positive Technologies, 2009

Не обязательно web!

Как бороться?

Способы борьбы

• Профилактика– Обучение– Дизайн приложения– Code review– Input validation– Continues integration checks

• Тестирование– Черным ящиком– Белым ящиком– Серым ящиком– Fuzzy– Автоматизированные инструменты

Способы борьбы: обучение

Способы борьбы: дизайн приложения

• не хранить секреты в открытом виде

• принцип минимальных привилегий

• использовать параметрезированные запросы

• использовать хранимые процедуры

• сообщения об ошибках не должны содержать служебной информации

Способы борьбы: Фильтры данных

Способы борьбы: Application Firewall

• www.owasp.org/index.php/Web_Application_Firewall

• Open Source:

– AQTronix - WebKnight – Trustwave SpiderLabs - ModSecurity

Способы борьбы: code review

• Экспертиза исходных текстов, как метод тестирования безопасности и защищённости программных продуктов

• http://software-testing.ru/library/testing/security/109

• http://securitywiki.ru/PraktikaJekspertizaIsxodnyxTekstov?v=oqu

• Patterns && Practices: Code Review

• http://msdn.microsoft.com/en-us/library/ff648637.aspx

• Проверка входных данных• Не использовать динамический sql (использовать

хранимые процедуры и параметризированные запросы)

• Минимальные привилегии• Секретные данные (поток данных)

• Java EE – использовать PreparedStatement() • .NET – использовать параметризованные запросы

при помощи SqlCommand() or OleDbCommand() • PHP – использовать PDO с строго типизированными

парамтризованными запросами (использование bindParam())

• SQLite – использовать sqlite3_prepare() • и т.п.

• https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

Способы борьбы: input validation

Проверяйте входные параметры

Способы борьбы: input validation

Портрет типичного пользователя

Dr. User Evil

Способы борьбы: Continues integration checks

• Microsoft FxCop• "CA2100: Review SQL queries for security

vulnerabilities“

• Microsoft Source Code Analyzer for SQL Injection

• Microsoft Code Analysis Tool for .Net (CAT.NET)

Тестирование: метод «черного ящика»

• http://sqlmap.sourceforge.net/• http://

www.owasp.org/index.php/Category:OWASP_SQLiX_Project

• Scrawlr (HP)• absinthe

Чтиво

• http://www.ptsecurity.ru/download/PT-devteev-Advanced-SQL-Injection.pdf

• https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

• http://msdn.microsoft.com/en-us/library/ff648637.aspx

Контакты

• polazhenko@gmail.com

• www.securitywiki.ru • Polazhenko.moikrug.ru

Security Tesint: Sql injection

Technology

Transcript of Security Tesint: Sql injection

3P- SQL Injection

Palestra sql injection oficial

Сергей Полаженко - Security Testing: SQL Injection

PRÁCTICA SQL INJECTION

Anti SQL Injection

45941232 SQL Injection Advanced

Injection sql

Apresentação sobre SQL Injection.

Eine Präsentation von Benedikt Streitwieser und …uhl/PScrypt16...•Blind SQL Injection: •Content-based Blind SQL Injection •Time-based Blind SQL Injection •SQL Injection

SQL Injection AN4976015 洪志修 2009/12/30. Outline SQL? SQL Injection? 防範.

Practica SQL- Injection

Sql, Sql Injection ve Sqlmap Kullanımı

SQL Injection TCC Wanderson

Injecao SQL - SQL Injection II

46735899 SQL Injection

GRIS - SQL Injection

Seguridad sql injection

The basic of Blind SQL Injection-pride - hackerschool.orghackerschool.org/.../The_basic_of_Blind_SQL_Injection_PRIDE.pdf · Blind SQL Injection 은 평범한 SQL Injection 과 같이

Assessing Web Services Robustness and Security Using ... Web... · aprofundada sobre dois tipos de vulnerabilidades (SQL Injection e Second-Order SQL Injection ), são descritas também

2. SQL Injection