SQL Injection. Banalny atak, który uświadamia, jak niebezpieczne są rozmowy o poufnych dla nas treściach na portalach typu Facebook.

Injection na język polski możemy tłumaczyć jako wstrzyknięcie.

Ten rodzaj błędów ma miejsce jeżeli nie traktujemy danych od użytkownika jako potencjalnie niebezpiecznych i ich odpowiednio nie filtrujemy. To nie powinno być dla Ciebie nic nowego. Pamiętasz nasz pierwszy odcinek o zdalnym wykonaniu kodu? Tam poprzez nieuwagę programisty mogliśmy wykonać dowolny kod na serwerze. Tutaj natomiast możemy doprowadzić do zwrócenia innych rekordów z bazy danych – względem tego jak serwis zaprojektował programista.

Injection to pierwszy z punktów na liście OWASP Top 10 – czyli zbioru 10 najpopularniejszych błędów w zabezpieczeniach aplikacji internetowych. Jak się do tego wszystkiego zabrać?

SQL

Aby móc wysyłać do serwera żądania, które doprowadzą do zwrócenia innych danych z bazy niż normalnie – najpierw musimy poznać język SQL. Istnieje kilka popularnych silników bazodanowych:

Każda baza używa nieco innej składni. W większości przypadków jednak podstawowe zapytania są bardzo podobne. Dlatego też na początek proponuje zapoznać się ze składnią SQLite. Dlaczego? Ponieważ jest najprostsza do zrozumienia. 

Na początek wystarczy:

Wprowadzenie do języka SQL znajdziesz także w moim dwugodzinnym filmie na temat SQL Injection. Jeżeli wolisz czytać – zobacz ten materiał Sekuraka.

Praktyka

Wiedzę przetestujesz w Web Security Academy.

Więcej zadań znajdziesz na:

Warto również pomyśleć o automatyzacji. Tutaj niekwestionowanym liderem jest narzędzie sqlmap. Więcej informacji znajdziesz na tej stronie wiki.

HackTricks zawiera różne techniki ataku zebrane w jednym miejscu.

Zapoznaj się też z prawdopodobnymi skutkami ataków SQL Injection.

Zaawansowane tematy

Pora na poznanie bardziej skomplikowanych technik:

Warto też wiedzieć jak chronić się przed tego rodzaju podatnościami. W głównej mierze wystarczy korzystać z mechanizmu prepared statement.

NoSQL injection

Oprócz baz SQL istnieją także bazy NoSQL, które pozwalają na przechowywanie i wyszukiwanie danych modelowanych w inny sposób niż relacje tabelaryczne. Brzmi to mądrze i skomplikowanie ale w rzeczywistości takie nie jest. Tutaj poczytasz o różnicach pomiędzy tymi dwoma rodzajami baz. Nas w głównej mierze będzie interesowała baza MongoDB.

Więcej informacji znajdziesz na:

Możesz także spróbować OWASP NodeGoat. Znajdziesz tam jednak nie tylko ćwiczenia z SQL Injection ale także XSS czy CSRF. Nie martw się jeżeli nie będziesz potrafił/potrafiła wykonać ich wszystkich. Tutaj znajdziesz podpowiedzi i rozwiązania.

Inne rodzaje wstrzyknięć

Oprócz SQL Injection istnieją także inne rodzaje wstrzyknięć. Chciażby:

W ramach zadania domowego spróbuj znaleźć inne rodzaje. Ile ich jest? 🙂

Tagi:

Podziel się postem :)

Najnowsze:

Militaria

Wyrzutnie rakietowe HIMARS już w Ukrainie. Zobacz je w akcji!

Jak poinformował ukraiński rząd, pierwsze systemy artylerii rakietowej HIMARS są już w rękach ukraińskich żołnierzy. Broń trafiła tam w ramach pomocy wojskowej Stanów Zjednoczonych i w sieci pojawiło się już nagranie rzekomo prezentujące je w akcji.

Mobilne

Aplikacje, które pomogą uniknąć mandatu podczas wakacji. Poznaj je!

Zbliżające się wakacje wiążą się z wyjazdami, a wiele osób decyduje się na podróż własnym autem. Warto jednak mieć na uwadzę, że rok 2022 stoi pod znakiem podwyżek i dotyczy to również kar za przekroczenie prędkości na polskich drogach. O “mandatach grozy” z pewnością usłyszymy tego lata wielokrotnie, a dzięki tym aplikacjom kierowcy z wyprzedzeniem dostaną informację o najbliższych fotoradarach.

Oprogramowanie

W jakim stopniu przeglądarki są dziś zgodne ze standardem HTML?

Dyskusje na temat zgodności przeglądarek z HTML5 całkowicie ucichły. Wróciliśmy do sytuacji sprzed dwóch dekad, gdy rozpatrywano jedynie zgodność stron z przeglądarką, a nie standardem. Czyżby wszyscy byli już zgodni z HTML5?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.