Sql injection
19
SQL Injection Tìm hiểu về khái niệm, phương thức khai thác
-
Upload
linh-hoang -
Category
Technology
-
view
13 -
download
2
Transcript of Sql injection
SQL Injection
Tìm hiểu về khái niệm, phương thức khai thác
GRAVITYKHÁI NIỆM - SQL INJECTION
SQL Injection là gì?
SQL Injection là một kỹ thuật là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp.
GRAVITYMỤC LỤC
Các dạng lỗi
1
Công cụ tìm kiếm và khai thác lỗ hổng
2 3
Cách phòng tránh
GRAVITYCÁC DẠNG LỖI
• Không lọc những ký tự “escape” (như ‘<‘,
‘\’,…)
• Không kiểm tra dạng của dữ liệu được nhập
vào
• Blind SQL Injection
GRAVITYCÁC DẠNG LỖI - LỖI KHÔNG LỌC KÝ TỰ ESCAPE
• Lỗi xảy ra khi thiếu đoạn mã kiểm tra dữ liệu đầu vào trong câu truy vấn SQL
• Người dùng có thể thực hiện một số truy vấn không mong muốn đối với cơ sở dữ liệu của ứng dụng.
GRAVITYVÍ DỤ - LỖI KHÔNG LỌC KÝ TỰ ESCAPE
Username anhmiuhv
statement = "SELECT * FROM users WHERE name = '" + userName + "';"
anhmiuhv Linh 1996
GRAVITYCÁC DẠNG LỖI
Username a’; DROP TABLE users;--
statement = "SELECT * FROM users WHERE name = '" + userName + "';"
No table “users” exists
- LỖI KHÔNG LỌC KÝ TỰ ESCAPE
Người phát triển ứng dụng nên không cho phép dấu (‘), (-), (;) ở trong input
GRAVITYCÁC DẠNG LỖI - LỖI KHÔNG KIỂM TRA DẠNG DỮ LIỆU
• Lỗi SQL injection dạng này thường xảy ra do lập trình viên hay người dùng định nghĩa đầu vào dữ liệu không rõ ràng hoặc thiếu bước kiểm tra và lọc kiểu dữ liệu đầu vào
• Lỗi xảy ra khi một trường số được sử dụng trong truy vấn SQL nhưng lập trình viên lại thiếu bước kiểm tra dữ liệu đầu vào để xác minh kiểu của dữ liệu mà người dùng nhập vào có phải là số hay không
GRAVITYVÍ DỤ - LỖI KHÔNG KIỂM TRA DẠNG DỮ LIỆU
Receipt 1213253412
statement = "SELECT * FROM sale WHERE name = " + receiptID + ";"
1213253412 Alex 123USD
GRAVITYCÁC DẠNG LỖI - LỖI KHÔNG KIỂM TRA DẠNG DỮ LIỆU
Receipt 1;DROP TABLE users
statement = "SELECT * FROM sale WHERE name = " + receiptID + ";"
• Ta thấy đoạn code được viết với receiptID là một trường số
• Tuy vậy người viết lại không kiểm tra dữ liệu đầu vào có phải là số hay không
• Người tấn công có thể chèn vào receipt một đoạn script
1213253412 Alex 123USD
GRAVITYCÁC DẠNG LỖI - BLIND SQL INJECTION
• Trang web tồn tại lỗi SQL Injection nhưng đoạn dữ liệu nhập vào để khai thác lỗi không làm hiện kết quả cho người tấn công
• Một dạng phổ biến của blind SQL Injection là dùng những câu truy vấn điều kiện để khai thác thông tin (như if .. else)
GRAVITYVÍ DỤ - BLIND SQL INJECTION
• Một ứng dụng web dùng MySQL
• Ứng dụng web được dùng để theo dõi tình hình của một trang trại trứng
• Trang web ở dưới đưa ra dữ liệu của những quả trứng chưa nở:
SELECT COUNT(chick_id) FROM chickens WHERE status='Incubating'
GRAVITYVÍ DỤ - BLIND SQL INJECTION
• Ta thay đổi lệnh truy vấn thành:SELECT COUNT(chick_id) FROM chickens WHERE status='Incubating' and ‘1’='2'
• Do 1 = 2 là false, trang web thông báo không thể tìm thấy dũ liệu nào
GRAVITYVÍ DỤ - BLIND SQL INJECTION
• Giả sử thay lệnh truy vấn thành
SELECT COUNT(chick_id) FROM chickens WHERE status='Incubating' and substring(@@version,1,1)=4
• Nếu như trang web tìm ra được dữ liệu => Version của MySQL là 4
• Nếu như trang web không tìm ra được dữ liệu => Version của MySQL không phải là 4
GRAVITYCÔNG CỤ TÌM KIẾM LỖ HỔNG
• Để tìm ra lỗ hổng SQL thường tốn rất nhiều bước và khá phức tạp
• Vì thế, có rất nhiều công cụ để phục vụ kiểm tra và tìm kiếm lỗ hổng SQL
• Ví dụ:• SQLmap• Bobcat• Absinthe• SQLninja
GRAVITYCÔNG CỤ TÌM KIẾM LỖ HỔNG - SQLMAP
• SQLmap là công cụ mở để phục vụ tìm kiếm và kiểm tra lỗ hổng SQL
• Công cụ được viết bằng python nên có thể chạy trên nhiều hệ điều hành
• Một ví dụ chạy sqlmap
$ python sqlmap.py -u "http://www.victim.com/get_int.php?id=1" --union-use--passwords -U SYS<snip>[hh:mm:50] [INFO] testing if User-Agent parameter 'User-Agent' is dynamic….[hh:mm:51] [INFO] GET parameter 'id' is unescaped numeric injectable with 0parenthesis….[hh:mm:51] [INFO] the back-end DBMS is Oracleweb server operating system: Linux Ubuntu 8.10 (Intrepid Ibex)web application technology: PHP 5.2.6, Apache 2.2.9back-end DBMS: Oracle
GRAVITYCÁCH PHÒNG TRÁNH
• Lấy dữ liệu trực tiếp của người dùng nhập vào qua một tham số cho một hàm để
được kiểm tra và xử lý
$stmt = $dbh->prepare("SELECT * FROM users WHERE USERNAME = ? AND PASSWORD = ?");$stmt->execute(array($username, $pass));
GRAVITYCÁCH PHÒNG TRÁNH
• Thay ký tự escape thành ký tự khác
$mysqli = new mySqli('hostname', 'db_username', 'db_password', 'db_name');$query = sprintf("SELECT * FROM `Users` WHERE UserName='%s' AND Password='%s'", $$mysqli->real_escape_string($Username), $$mysqli->real_escape_string($Password));$mysqli->query($query);
GRAVITYCÁCH PHÒNG TRÁNH
• Chuyển dữ liệu nhập vào thành dạng khác
• Ví dụ :
• Ký tự được nhập vào là "5' or '1'='1'"
SELECT * FROM users WHERE id = unhex(‘35262333393b206f7220262333393b31262….’)
