- 1183 Просмотра
- Обсудить
Внедрение операторов SQL (SQL Injection)
Эти атаки направлены на веб‑серверы, создающие SQL‑запросы к серверам СУБД на основе данных, вводимых пользователем. Язык запросов Structured Query Language (SQL) представляет собой специализированный язык программирования, позволяющий создавать запросы к серверам СУБД. Большинство серверов поддерживают этот язык в вариантах, стандартизированных ISO и ANSI. В большинстве современных СУБД присутствуют расширения диалекта SQL, специфичные для данной реализации (например, T‑SQL в Microsoft SQL Server и т. д.). Многие веб‑приложения используют данные, переданные пользователем, для создания динамических веб‑страниц. Если информация, полученная от клиента, должным образом не верифицируется, атакующий получает возможность модифицировать запрос к SQL‑серверу, отправляемый приложением. Запрос будет выполняться с тем же уровнем привилегий, с каким работает компонент приложения, выполняющий запрос (сервер СУБД, веб‑сервер и т. д.). В результате злоумышленник может получить полный контроль над сервером СУБД и даже его операционной системой. С точки зрения эксплуатации SQL Injection очень похож на LDAP Injection.
Предположим, что аутентификация в веб‑приложении осуществляется с помощью веб‑формы, обрабатываемой следующим кодом:
SQLQuery = "SELECT Username FROM Users WHERE
Username = '" & strUsername & "' AND Password = '"
& strPassword & strAuthCheck =
GetQueryResult(SQLQuery)
В этом случае разработчики непосредственно используют переданные пользователями значения strUsername и strPassword для создания SQL‑запроса. Предположим, злоумышленник передаст следующие значения параметров:
Login:'OR''='
Password:'OR''='
В результате серверу будет передан следующий SQL‑запрос:
SELECT Username FROM Users WHERE Username = '' OR ''='' AND Password = '' OR ''=''
Вместо сравнения имени пользователя и пароля с записями в таблице Users данный запрос сравнивает пустую строку с пустой строкой. Естественно, результат подобного запроса всегда будет равен True, и злоумышленник войдет в систему от имени первого пользователя в таблице. Обычно выделяют два метода эксплуатации внедрения операторов SQL: обычная атака и атака вслепую (Blind SQL Injection). В первом случае злоумышленник подбирает параметры запроса, используя информацию об ошибках, генерируемую веб‑приложением.
К примеру, добавляя оператор union к запросу, злоумышленник может проверить доступность базы данных (листинг 1.12).
Листинг 1.12. Пример применения оператора union в запросе
http://example/article.asp?ID=2+union+all+select+name+from+sysobjects
Microsoft OLE DB Provider for ODBC Drivers error "80040e14"
[Microsoft][ODBC SQL Server Driver][SQL Server]All
queries in an SQL statement containing a UNION
operator must have an equal number of expressions
in their target lists.
Из этого примера следует, что оператор union был передан серверу, и теперь злоумышленнику необходимо подобрать используемое в исходном выражении select количество параметров. Возможен также вариант внедрения SQL‑кода вслепую. В этом случае стандартные сообщения об ошибках модифицированы, и сервер возвращает понятную для пользователя информацию о неправильном вводе. Осуществление SQL Injection может быть реализовано и в этой ситуации, однако обнаружение уязвимости затруднено. Наиболее распространенный метод проверки наличия проблемы – добавление выражений, возвращающих истинное и ложное значения.
Выполнение запроса http://example/article.asp?ID=2+and+1=1 к серверу должно вернуть ту же страницу, что и запрос: http://example/article. asp?ID=2, поскольку выражение and 1=1 всегда истинно.
Если в запрос добавляется выражение, возвращающее значение False: example/article.asp?ID=2+and+1 = 0, то пользователю будет возвращено сообщение об ошибках или страница не будет сгенерирована.
Если факт наличия уязвимости подтвержден, эксплуатация ничем не отличается от обычного варианта.
Будь-те первым, поделитесь мнением с остальными.