У недреніе SQL, в залежності від типу використовуваної СУБД і умов впровадження, може дати можливість атакуючому виконати довільний запит до бази даних (наприклад, прочитати вміст будь-яких таблиць, видалити, змінити або додати дані), отримати можливість читання і / або запису локальних файлів і виконання довільних команд на атакується сервері.
Атака типу впровадження SQL може бути можлива через некоректну обробки вхідних даних, що використовуються в SQL-запитах.
Розробник прикладних програм, що працюють з базами даних, повинен знати про такі вразливості і вживати заходів протидії запровадженню SQL.
Принцип атаки впровадження SQL
Припустимо, серверне ПЗ, отримавши вхідний параметр id, використовує його для створення SQL-запиту. Розглянемо наступний PHP-скрипт:
Таким чином, зміна вхідних параметрів шляхом додавання в них конструкцій мови SQL викликає зміна в логіці виконання SQL-запиту (в даному прикладі замість новини з заданим ідентифікатором будуть обрані всі наявні в базі новини, оскільки вираз 1 = 1 завжди істинно).
Впровадження в строкові параметри
Припустимо, серверне ПЗ, отримавши запит на пошук даних в новинах параметром search_text, використовує його в наступному SQL-запиті (тут параметри екрануються лапками):
Але, запровадивши в параметр search_text символ лапки (який використовується в запиті), ми можемо кардинально змінити поведінку SQL-запиту. Наприклад, передавши як параметр search_text значення ') + and + (news_id_author =' 1, ми викличемо до виконання запит:
Використання UNION
Мова SQL дозволяє об'єднувати результати декількох запитів за допомогою оператора UNION. Це надає зловмисникові можливість отримати несанкціонований доступ до даних.
Розглянемо скрипт відображення новини (ідентифікатор новини, яку необхідно відобразити, передається в параметрі id):
Якщо зловмисник передасть в якості параметра id конструкцію -1 UNION SELECT 1, username, password, 1 FROM admin, це викличе виконання SQL-запиту
Так як новини з ідентифікатором -1 свідомо не існує, з таблиці news не буде вибрано жодного запису, проте в результат потраплять записи, несанкціоновано відібрані з таблиці admin в результаті ін'єкції SQL.
Використання UNION + group_concat ()
У деяких випадках хакер може провести атаку, але не може бачити більше однієї колонки. У разі MySQL зломщик може скористатися функцією:
яка об'єднує кілька колонок в одну. Наприклад, для прикладу даного вище виклик функції буде таким:
Екранування хвоста запиту
Найчастіше, SQL-запит, схильний до даної уразливості, має структуру, що ускладнює або перешкоджає використанню union. наприклад скрипт
зловмисником передається конструкція, що містить крапку з комою, наприклад 12; INSERT INTO admin (username, password) VALUES ( 'HaCkEr', 'foo'); то в одному запиті будуть виконані 2 команди
і в таблицю admin буде несанкціоновано додано запис HaCkEr.
Методика атак типу впровадження SQL-коду
Пошук скриптів, вразливих для атаки
На даному етапі зловмисник вивчає поведінку скриптів сервера при маніпуляції вхідними параметрами з метою виявлення їх аномального поведінки. Маніпуляція відбувається всіма можливими параметрами:
Даними, переданими через методи POST і GET
Значеннями [HTTP-Cookie]
HTTP_REFERER (для скриптів)
AUTH_USER і AUTH_PASSWORD (при використанні аутентифікації)
Як правило, маніпуляція зводиться до підстановці в параметри символу одинарної (рідше подвійний або зворотного) лапки.
Аномальним поведінкою вважається будь-яка поведінка, при якому сторінки, одержувані до і після підстановки лапок, розрізняються (і при цьому не виведена сторінка про неправильному форматі параметрів).
Найбільш часті приклади аномального поведінки:
виводиться повідомлення про різні помилки;
при запиті даних (наприклад, новини або списку продукції) запитувані дані не виводяться взагалі, хоча сторінка відображається
і т. д. Слід враховувати, що відомі випадки, коли повідомлення про помилки, в силу специфіки розмітки сторінки, які не видно в браузері, хоча і присутні в її HTML-коді.
Захист від атак типу впровадження SQL-коду
Для захисту від даного типу атак необхідно ретельно фільтрувати вхідні параметри, значення яких будуть використані для побудови SQL-запиту.
Фільтрація строкових параметрів
Припустимо, що код, що генерує запит (на мові програмування Паскаль), виглядає так:
Щоб впровадження коду було неможливо, для деяких СУБД, в тому числі, для MySQL, потрібно брати в лапки всі строкові параметри. У самому параметрі замінюють лапки на ", апостроф на \ ', зворотну косу риску на \\ (це називається« екранувати спецсимволи »). Це можна робити таким кодом:
Для PHP фільтрація може бути такою: