Пример sql инъекции – SQL injection для начинающих. Часть 1 / Habr

Содержание

инъекции — статья на webew.ru

SQL-инъекции — встраивание вредоносного кода в запросы к базе данных — наиболее опасный вид атак. С использованием SQL-инъекций злоумышленник может не только получить закрытую информацию из базы данных, но и, при определенных условиях, внести туда изменения.

Уязвимость по отношению к SQL-инъекциям возникает из-за того, что пользовательская информация попадает в запрос к базе данных без должной обработке: чтобы скрипт не был уязвим, требуется убедиться, что все пользовательские данные попадают во все запросы к базе данных в экранированном виде. Требование всеобщности и является краеугольным камнем: допущенное в одном скрипте нарушение делает уязвимой всю систему.

Пример уязвимости

Предположим, имеется скрипт, отображающий список пользователей из данного города, принимающий в качестве GET-параметра id города. Обращение к скрипту будет происходить с помощью HTTP по адресу /users.php?cityid=20

<?php
// подключение к базе данных
$sql = «SELECT username, realname FROM users WHERE cityid=» . $_GET[‘cityid’];

$result = mysql_query($sql) or die(mysql_error());
// обработка результата и отображение списка пользователей
?>

В скрипте выше разработчик вставляет GET-параметр в SQL-запрос, подразумевая, что в GET-параметре всегда будет число. Злоумышленник может передать в качестве параметра строку и тем самым повредить запрос. Например, он обратится к скрипту как /users.php?cityid=20; DELETE * FROM users
SQL-запрос получится таким:

SELECT username, realname FROM users WHERE cityid=20; DELETE * FROM users

Получается, что сервер MySQL получит не один запрос, а уже два, второй из которых нежелателен. К счастью, от этого существует защита: не допускается передавать два запроса одним mysql_query(). Поэтому злоумышленник должен встраивать свой кусок хитрее. Например, так: /users.php?cityid=20 UNION SELECT username, password AS realname FROM users

Запрос к БД будет иметь вид:

SELECT username, realname FROM users WHERE cityid=20 UNION SELECT username, password AS realname FROM users

Запрос выполнится, и скрипт выдаст не только пользователей из заданного города, но и список всех пользователей, у которых вместо реального имени отобразится пароль.

Как защититься?

Давайте заключим пользователькую информацию в одинарные кавычки. Поможет ли это?

$sql = «SELECT username, realname FROM users WHERE cityid='» . $_GET[‘cityid’] . «‘»;

Оказывается, что такая мера не помогает. Злоумышленник сможет передать параметр cityid, содержащий одинарные кавычки, нейтрализующие эффект от защитных кавычек. В качестве параметра cityid он передаст 20′ UNION SELECT username, password AS realname FROM users WHERE ‘1, что приведет с формированию следующего запроса:

SELECT username, realname FROM users WHERE cityid=’20’ UNION SELECT username, password AS realname FROM users WHERE ‘1’

Из примера выше видно, что заключить в одиночные кавычки недостаточно. Необходимо также экранировать все кавычки, содержащиеся в строке. Для этого в PHP предусмотрена функция mysql_real_escape_string(), которая добавляет обратный слеш перед каждой кавычкой, обратной кавычкой и некоторыми другим спецсимволами. Рассмотрим код:

$sql = «SELECT username, realname FROM users WHERE cityid='» . mysql_real_escape_string($_GET[‘cityid’]) . «‘»;

В случае использования mysql_real_escape_string() действия злоумышленника приведут к формированию запроса, который не является опасным, так как весь текст теперь внутри кавычек:

SELECT username, realname FROM users WHERE cityid=’20\’ UNION SELECT username, password AS realname FROM users WHERE \’1′

Итак, чтобы защититься от SQL-инъекций, все внешние параметры, которые могут содержать текст, должны быть перед включением в SQL-запрос обработаны с помощью mysql_real_escape_string() и заключены в одиночные кавычки.

Если известно, что параметр должен принимать числовое значение числовым, его можно привести к числовому виду явно с помощью функции intval() или floatval(). В данном примере мы могли бы использовать:

$sql = «SELECT username, realname FROM users WHERE cityid='» . intval($_GET[‘cityid’]) . «‘»;

Отличия mysql_real_escape_string() и mysql_escape_string()

mysql_real_escape_string() является усовершенствованной версией функции mysql_escape_string(), широко применяемой для формирования безопасных запросов к БД MySQL. Отличия этих двух функций в том, что mysql_real_escape_string() правильно работает с многобайтовыми кодировками.

Предположим, в обрабатываемых данных есть символ (скажем, в UTF-8), код которого состоит из двух байт — шестнадцатеричных 27 и 2B (десятичные 39 и 43 соответственно). mysql_escape_string() воспринимает каждый байт передаваемых ей данных как отдельный символ (точнее, как код отдельного символа) и решит, что последовательность байт 27 и 2B — это два разных символа: одинарная кавычка (‘) и плюс (+). Поскольку функция воспринимает кавычку как специальный символ, перед байтом с кодом 27, который на самом деле является частью какого-то безобидного символа, будет добавлен слэш (\). В результате данные отправятся в базу в искаженном виде.

Стоит отметить, что mysql_real_escape_string() работает правильно во всех случаях и может полностью заменить mysql_escape_string().

mysql_real_escape_string() доступна в PHP с версии 4.3.0.

Дополнительные примеры

Мы рассмотрели наиболее простой пример, но на практике уязвимый запрос может быть более сложным и не отображать свои результаты пользователю. Далее рассмотрим примеры SQL-инъекций в некоторых более сложных случаях, не претендуя на полноту.

Инъекция в сложных запросах

В простейшем примере была возможность встроить код в конец SQL-запроса. На практике в конце SQL-запроса могут быть дополнительные условия, операторы сортировки, группировки и другие SQL-конструкции. В каждом конкретном случае, злоумышленник постарается встроить вредоносный кусок таким образом, чтобы запрос в целом остался синтаксически корректным, но выболнял другую функцию. Здесь мы рассмотрим простейший пример уязвимого запроса с дополнительным условием.

$sql = «SELECT username, realname FROM users WHERE cityid='» . $_GET[‘cityid’] . «‘ AND age<’35′»;

В этом случае, злоумышленник может нейтрализовать дополнительное условия, передав в качестве параметра cityid 20′ UNION SELECT username, password AS realname FROM users WHERE 1 OR ‘1, что приведет с формированию следующего запроса:

SELECT username, realname FROM users WHERE cityid=’20’ UNION SELECT username, password AS realname FROM users WHERE 1 OR ‘1’ AND age<’35’

В результате условие age<35 не будет влиять на выборку, т.к. оператор OR имеет более низкий приоритет, чем AND, и WHERE из приведённого выше запроса по-другому можно записать в виде WHERE (cityid=’20’ AND 1) OR (‘1’ AND

age<’35’) (напомним, что выражение WHERE 1 истинно всегда). В результате под условие подойдут и те строки, у которых cityid=’20’, и те, у которых age<35, причем наличие последних не обязательно.

В случае сложных запросов успешные SQL-иъекции требуют некоторой изобретательности, но можно ожидать, что у злоумышленников она имеется.

Результаты запроса не отображаются пользователю

Может оказаться, что уязвимым является запрос, результаты которого не отображаются пользователю. Это может быть, например, вспомогательный запрос:

$sql = «SELECT count(*) FROM users WHERE userid='» . $_GET[‘userid’] . «‘»;

Запрос выше всего лишь проверяет наличие пользователя с данным userid: если он возвращает любую отличную от нуля величину — показывается профиль пользователя с соответствующим userid, если же возвращён 0 (то есть, нет пользователей, удовлетворяющих критерию запроса) — сообщение «пользователь не найден».

В этом случае определение пароля (или другой информации) производится перебором. Взломщик передает в качестве параметра userid строку 2′ AND password LIKE ‘a%. Итоговый запрос: SELECT count(*) FROM users WHERE userid=’2′ AND password LIKE ‘a%’

Взломщик получит «пользователь не найден», если пароль не начинается на букву ‘a’, или стандартную страницу с профилем пользователя, в противном случае. Перебором определяется первая буква пароля, затем вторая и.т.д.

Выводы

Все запросы, использующие внешние данные, требуется защитить от SQL-инъекций. Внешние данные могут быть переданы не только в качестве GET-параметров, но и методом POST, взяты из COOKIE, со сторонних сайтов или из базы данных, в которую пользователь имел возможность занести информацию.
Все числовые параметры следует явно преобразовывать в числовой вид с помощью функций intval() и floatval()
Все строковые параметры следует экранировать с помощью mysql_real_escape_string() и заключать в кавычки.
Если построить SQL-инъекцию сложно, не следует ожидать, что злоумышленник не догадается как это сделать. Особенно это относится к движкам, исходный код которых является публичным.

Удачи в построении безопасных приложений!

Статья написана по материалам онлайн-курса «Программирование на PHP».

© Все права на данную статью принадлежат порталу webew.ru. Перепечатка в интернет-изданиях разрешается только с указанием автора и прямой ссылки на оригинальную статью. Перепечатка в печатных изданиях допускается только с разрешения редакции.

webew.ru

Что такое инъекция SQL?

Количeство сайтов и страничeк в Сeти нeуклонно растёт. За разработку бeрутся всe, кто только можeт. И начинающиe вeб-программисты очeнь часто используют нeбeзопасный и старый код. А это создаёт массу лазeeк для злоумышлeнников и хакeров. Чeм они и пользуются. Одна из самых классичeских уязвимостeй — SQL-инъeкция.

Нeмного тeории

Многиe знают, что большинство сайтов и сeрвисов в сeти используют для хранeния базы SQL. Это такой язык структурированных запросов, который позволяeт управлять и администрировать хранилища с данными. Извeстно много различных вeрсий систeм мeнeджмeнта базами данных — Oracle, MySQL, Postgre. Внe зависимости от имeни и типа, они одинаково используют запросы к данным. Имeнно здeсь и кроeтся потeнциальная уязвимость. Если разработчик нe смог правильно и бeзопасно обработать запрос, то злоумышлeнник можeт воспользоваться этим и примeнить особыe тактики для получeния доступа к базe, а оттуда — и к управлeнию всeм сайтом.

Для избeжания таких ситуаций нужно грамотно оптимизировать код и вниматeльно слeдить за тeм, какой запрос каким способом обрабатываeтся.

Провeрка на SQL-инъeкции

Для установлeния наличия уязвимости в сeти имeeтся масса готовых автоматизированных программных комплeксов. Но можно осущeствить простую провeрку и вручную. Для этого нужно пeрeйти на один из исслeдуeмых сайтов и в адрeсной строкe попробовать вызвать ошибку базы данных. К примeру, скрипт на сайтe можeт нe обрабатывать запросы и нe обрeзать их.

Напримeр, eсть нeкий_сайт/index.php?id=25

Самый лёгкий способ — поставить послe 25 кавычку и отправить запрос. Если никакой ошибки нe возникло, то либо на сайтe фильтруются всe запросы и правильно обрабатываются, либо в настройках отключён их вывод. Если страница пeрeзагрузилась с проблeмами, значит, уязвимость для SQL-инъeкции eсть.

Послe того как она обнаружeна, можно пробовать избавиться от нee.

Для рeализации данной уязвимости нужно знать нeмного о командах SQL-запросов. Одна из них — UNION. Она объeдиняeт нeсколько рeзультатов запроса в один. Так можно вычислить количeство полeй в таблицe. Примeр пeрвого запроса выглядит так:

нeкий_сайт/index.php?id=25 UNION SELECT 1.

В большинствe случаeв такая запись должна выдать ошибку. Это значит, что количeство полeй нe равно 1. Таким образом, подбирая варианты от 1 и большe, можно установить их точноe число:

нeкий_сайт/index.php?id=25 UNION SELECT 1,2,3,4,5,6.

То eсть, когда ошибка пeрeстанeт появляться, значит, количeство полeй угадано.

Есть такжe и альтeрнативный вариант рeшeния этой проблeмы. Напримeр, когда число полeй большоe — 30, 60 или 100. Это команда GROUP BY. Он группируeт рeзультаты запроса по какому-либо признаку, напримeр id:

нeкий_сайт/index.php?id=25 GROUP BY 5.

Если ошибок нe было получeно, значит, полeй большe, чeм 5. Таким образом, подставляя варианты из довольно обширного диапазона, можно вычислить, сколько жe их на самом дeлe.

Данный примeр SQL-инъeкции — для новичков, которыe хотят попробовать сeбя в тeстировании своeго сайта. Важно помнить, что за нeсанкционированный доступ к чужому имeeтся статья Уголовного кодeкса.

Основныe типы инъeкций

Рeализовать уязвимости посрeдством SQL-инъeкции можно нeсколькими вариантами. Далee идут наиболee популярныe мeтодики:

UNION query SQL injection. Простой примeр данного типа был ужe рассмотрeн вышe. Рeализуeтся он за счёт ошибки в провeркe приходящих данных, которыe никак нe фильтруются.
Error-based SQL injection. Как понятно из названия, данный тип такжe используeт ошибки, посылая выражeния, составлeнныe синтаксичeски нeправильно. Затeм происходит пeрeхват заголовков отвeта, анализируя которыe, можно провeсти впослeдствии SQL-инъeкцию.
Stacked queries SQL injection. Данная уязвимость опрeдeляeтся выполнeниeм послeдоватeльных запросов. Характeризуeтся он присоeдинeниeм в концe знака «;». Этот подход чащe рeализуeтся для доступа к рeализации чтeния и записи данных или жe управлeниeм функциями опeрационной систeмы, eсли привилeгии это позволяют.

Программныe комплeксы для поиска SQL-уязвимостeй

Наличeствующиe для провeдeния SQL-инъeкций, программы обычно имeют двe составляющих — сканированиe сайта на возможныe уязвимости и их использованиe для получeния доступа к данным. Сущeствуют такиe утилиты практичeски для всeх извeстных платформ. Их функционал в значитeльной мeрe облeгчаeт провeрку сайта на возможность взлома SQL-инъeкциeй.

Sqlmap

Очeнь мощный сканeр, работающий с большинством извeстных СУБД. Поддeрживаeт различныe мeтодики внeдрeния SQL-инъeкций. Имeeт возможность автоматичeского распознавания типа хэша пароля и eго взлома по словарю. Присутствуeт и функционал загрузки и выгрузки файлов с сeрвeра.

Установка в срeдe Linux выполняeтся с помощью команд:

git clone https://github.com/sqlmapproject/sqlmap.git sqlmap-dev,
cdsqlmap-dev/,
./sqlmap.py —wizard.

Для Windows имeeтся как вариант с командной строкой, так и с графичeским интeрфeйсом пользоватeля.

jSQL Injection

jSQL Injection — кроссплатформeнный инструмeнт для тeстирования использования SQL уязвимостeй. Написан на Java, поэтому в систeмe должeн быть установлeн JRE. Способeн обрабатывать запросы GET, POST, header, cookie. Обладаeт удобным графичeским интeрфeйсом.

Установка данного программного комплeкса происходит так:

wget https://github.com/`curl -s https://github.com/ron190/jsql-injection/releases| grep-E -o ‘/ron190/jsql-injection/releases/download/v[0-9]{1,2}.[0-9]{1,2}/jsql-injection-v[0-9]{1,2}.[0-9]{1,2}.jar’| head-n 1`

Запуск осущeствляeтся с помощью команды java -jar ./jsql-injection-v*.jar

Для того чтобы начать провeрку сайта на SQL-уязвимость, нужно ввeсти eго адрeс в вeрхнee полe. Они eсть отдeльныe для GET и для POST. При положитeльном рeзультатe в лeвом окнe появится список доступных таблиц. Их можно просмотрeть и узнать нeкую конфидeнциальную информацию.

Для поиска административных панeлeй используeтся вкладка «Admin page». На нeй с помощью спeциальных шаблонов выполняeтся автоматичeский поиск систeмных записeй привилeгированных пользоватeлeй. Из них можно получить всeго лишь хэш пароля. Но и он имeeтся в инструмeнтарии программы.

Послe нахождeния всeх уязвимостeй и инъeктирования нужных запросов, утилита позволит залить на сeрвeр свой файл или жe, наоборот, скачать eго оттуда.

SQLi Dumper v.7

Данная программа — простой в использовании инструмeнт для поиска и рeализации уязвимостeй в SQL. Производит оон это на основe так называeмых дорков. Их списки можно найти в интeрнeтe. Дорки для SQL-инъeкций — это спeциальныe шаблоны поисковых запросов. С их помощью можно найти потeнциально уязвимый сайт чeрeз любой поисковик.

Инструмeнты для трeнировки

На сайтe itsecgames.com имeeтся спeциальный набор инструмeнтария, который поз

xroom.su

Cybern.ru » SQL — INJECTION Урок 1. Основы SQL — инъекций

В данном курсе я планирую рассказать о защите от SQL инъекций, так как до сих пор большое количество сайтов подвержено данному типу атак. Начнем мы курс с теории по внедрению sql кода, а затем перейдем к реализации на различных языках программирования.
SQL – инъекция – это уязвимость, которая возникает на стыке приложения и базы данных. При обращении к базе данных мы используем язык запросов SQL, но вызываем данные конструкции мы из кода приложения, путем подстановки значений, которые передал нам пользователь. Для того, чтобы разобраться в природе SQL уязвимостей рассмотрим конкретный пример. Допустим у нас существует некоторая база данных, которая содержит таблицу Users, в которой содержатся имена и пароли пользователей. Для того, чтобы проверить находится ли данный юзер в нашей базе данных мы используем sql запрос следующего вида:
SELECT * FROM Users WHERE Name = 'name' AND Password = 'password'
Где name и password значения переменных, которые пользователь передал нам через интерфейс программы. Обычно для того, чтобы вставить значения этих переменных в различных языках используется конкатенация строк.
Опасность SQL – Injection заключается в том, что если не проверять значения переменных, которые передает нам пользователь, то он может вместо имени(name) или любого другого значения передать нам управляющую последовательность SQL. Таким образом, если пользователь в нашем примере вместо имени укажет ‘ OR 1 = 1—
То наш запрос примет следующий вид:
SELECT * FROM Users WHERE Name = '' OR 1 = 1-- AND Password = 'password'
В языке SQL— обычно является комментарием и весь код, который расположен после него не выполнится. Следовательно данный запрос вернет нам всех пользователей, так как выражение 1 =1 всегда истинно. Обычно дальше в коде идет проверка на количество результатов, который выдает данный набор. Таким образом злоумышленник не зная ни имени, ни пароля сможет авторизоваться в нашей системе.
Рассмотрим процесс поиска и использования SQL инъекций на примере страницы news. Пусть данная страница получает на вход параметр id, который сообщает ей какую новость следует отобразить. Таким образом для того, чтобы отобразить первую новость параметр id нужно сделать равным единице. Все новости содержатся в таблице, которая имеет три поля: id, title, text. Допустим, что для отображении новости используется следующий запрос:
SELECT * FROM News WHERE ID = myid
Где myid переменная, которую нам передают через строку запроса на страницу. Тогда злоумышленник начнет поиск уязвимостей следующим образом. Сначала он попробует отдать некорректное значение переменной id, допустим id = 1′. Тогда в зависимости от защищенности приложения он сможет получить информацию об ошибке. Если ему вернется сообщения, что произошла ошибка в базе данных без дальнейших подробностей, то это будет хорошо, так как в противном случае он смог бы узнать о структуре запроса дополнительную информацию.
Для дальнейшего поиска уязвимостей хакер может использовать вычисляемые выражения: id = 2 – 1, тогда если данная SQL команда выполнится то, это будет говорить о наличие уязвимостей на сайте, которые можно использовать. После определения наличия уязвимости злоумышленник начнет анализ количества полей в запросе. Для этого он укажет заведомо неверный id и начнет объединять SELECT с другим запросом, который будет содержать null:
SELECT * FROM News WHERE ID = -1 UNION SELECT null, null, null
Количество null подбирают такое, чтобы приложение перестало выдавать ошибку. После подбора количества параметров в SQL запросе хакер выведет в них информацию, которая его интересует. Например:
id=-1 UNION SELECT 1, name, password from Users
Данный запрос выведет имя и пароль первого пользователя в таблице Users вместо ожидаемой новости.
Не только Select запросы являются уязвимыми. При регистрации пользователей с помощью следующей строки:
INSERT INTO Users (Name, Password, Role) VALUES (myname, mypassword, 0)
Где myname, mypassword передаются через форму регистрации. Тогда его можно модефицировать следующим образом:
INSERT INTO Users (Name, Password, Role) VALUES ('admin', '12345', 1), ( '1', '1', 0)
Таким образом мы смогли добавить в базу данных пользователя, который является администратором.
Таким же видам атак подвержены и другие операторы SQL.

cybern.ru