Security Tesint: Sql injection

Security Testing: SQL Injection

Сергей Полаженко, SQALab

Тестирование безопасности

Этапы тестирования безопасности

Уровни тестирования безопасности

• Нормативно-правовой• Организационный• Технический• Физический

Основная проблема безопасности

Что такое SQL Injection

Что такое SQL Injection? (1/2)

Что такое SQL Injection? (2/2)

Почему SQL Injection (1/3)

Positive Technologies, 2009

SQL


Positive Technologies, 2009

SQL

Не обязательно web!

Как бороться?

Способы борьбы

• Профилактика– Обучение– Дизайн приложения– Code review– Input validation– Continues integration checks

• Тестирование– Черным ящиком– Белым ящиком– Серым ящиком– Fuzzy– Автоматизированные инструменты

Способы борьбы: обучение

Способы борьбы: дизайн приложения

• не хранить секреты в открытом виде

• принцип минимальных привилегий

• использовать параметрезированные запросы

• использовать хранимые процедуры

• сообщения об ошибках не должны содержать служебной информации

Способы борьбы: Фильтры данных

Способы борьбы: Application Firewall


•


• www.owasp.org/index.php/Web_Application_Firewall

• Open Source:

– AQTronix - WebKnight – Trustwave SpiderLabs - ModSecurity

http://www.owasp.org/index.php/Web_Application_Firewall

http://www.aqtronix.com/?PageID=99




http://www.modsecurity.org/





Способы борьбы: code review

• Экспертиза исходных текстов, как метод тестирования безопасности и защищённости программных продуктов

• http://software-testing.ru/library/testing/security/109

• http://securitywiki.ru/PraktikaJekspertizaIsxodnyxTekstov?v=oqu

http://software-testing.ru/library/testing/security/109

http://software-testing.ru/library/testing/security/109

http://securitywiki.ru/PraktikaJekspertizaIsxodnyxTekstov?v=oqu




• Patterns && Practices: Code Review

• http://msdn.microsoft.com/en-us/library/ff648637.aspx

http://msdn.microsoft.com/en-us/library/ff648637.aspx


http://www.microsoft.com/practices


• Проверка входных данных• Не использовать динамический sql (использовать

хранимые процедуры и параметризированные запросы)

• Минимальные привилегии• Секретные данные (поток данных)


• Java EE – использовать PreparedStatement() • .NET – использовать параметризованные запросы

при помощи SqlCommand() or OleDbCommand() • PHP – использовать PDO с строго типизированными

парамтризованными запросами (использование bindParam())

• SQLite – использовать sqlite3_prepare() • и т.п.

• https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet



Способы борьбы: input validation



Проверяйте входные параметры

Способы борьбы: input validation



Портрет типичного пользователя

Dr. User Evil

Способы борьбы: Continues integration checks

• Microsoft FxCop• "CA2100: Review SQL queries for security

vulnerabilities“

• Microsoft Source Code Analyzer for SQL Injection

• Microsoft Code Analysis Tool for .Net (CAT.NET)

Тестирование: метод «черного ящика»


• http://sqlmap.sourceforge.net/• http://

www.owasp.org/index.php/Category:OWASP_SQLiX_Project

• Scrawlr (HP)• absinthe

http://sqlmap.sourceforge.net/

http://sqlmap.sourceforge.net/

http://www.owasp.org/index.php/Category:OWASP_SQLiX_Project




http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx

http://www.communities.hp.com/securitysoftware/blogs/spilabs/archive/2008/06/23/finding-sql-injection-with-scrawlr.aspx

http://www.0x90.org/releases/absinthe/

Чтиво

• http://www.ptsecurity.ru/download/PT-devteev-Advanced-SQL-Injection.pdf

• https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet

• http://msdn.microsoft.com/en-us/library/ff648637.aspx

http://www.ptsecurity.ru/download/PT-devteev-Advanced-SQL-Injection.pdf








Контакты

• [email protected]

• www.securitywiki.ru • Polazhenko.moikrug.ru

http://www.securitywiki.ru/

Security Tesint: Sql injection

Technology

Transcript of Security Tesint: Sql injection