SQL-инъекция

В вычислительной технике SQL-инъекция — это метод внедрения кода, используемый для атаки на приложения, управляемые данными, при котором вредоносные операторы SQL вставляются в поле ввода для выполнения (например, для передачи содержимого базы данных злоумышленнику). ^{[ 1 ] [ 2 ]} SQL-инъекция должна использовать уязвимость безопасности в программном обеспечении приложения, например, когда пользовательский ввод либо неправильно фильтруется для строковых литералов escape-символов, встроенных в операторы SQL, либо когда пользовательский ввод не является строго типизированным и неожиданно выполняется. SQL-инъекция в основном известна как вектор атаки на веб-сайты, но может использоваться для атаки на любой тип базы данных SQL.

Атаки с помощью SQL-инъекций позволяют злоумышленникам подделать личность, подделать существующие данные , вызвать проблемы с отказом, такие как аннулирование транзакций или изменение баланса, обеспечить полное раскрытие всех данных в системе, уничтожить данные или сделать их недоступными иным образом, а также стать администраторами системы. сервер базы данных. Документоориентированные базы данных NoSQL также могут быть подвержены этой уязвимости безопасности. ^{[ 3 ]}

В исследовании 2012 года было отмечено, что среднее веб-приложение подвергалось четырем атакам в месяц, а розничные торговцы подвергались вдвое большему количеству атак, чем другие отрасли. ^{[ 4 ]}

Обсуждения внедрения SQL, такие как статья 1998 года в журнале Phrack Magazine , начались в конце 1990-х годов. ^{[ 5 ]} SQL-инъекция была признана одной из 10 крупнейших уязвимостей веб-приложений в 2007 и 2010 годах по версии Open Web Application Security Project . ^{[ 6 ]} В 2013 году внедрение SQL-кода было признано атакой номер один в первой десятке OWASP. ^{[ 7 ]}

SQL-инъекция — это распространенная уязвимость безопасности, возникающая из-за преимущественно плохой (или отсутствия) проверки входных данных. Учитывая, что может быть предоставлен произвольный код SQL, это может оказаться разрушительным. Код SQL может быть создан для извлечения всей информации из целевой системы, изменения информации, уничтожения информации и при определенных обстоятельствах даже получения удаленной оболочки на самом сервере базы данных. ^{[ 8 ]}

Эта форма внедрения основана на том факте, что операторы SQL состоят как из данных, используемых оператором SQL, так и из команд, управляющих выполнением оператора SQL. Например, в инструкции SQL select * from person where name = 'susan' and age = 2 строка ' susan' это данные и фрагмент and age = 2 является примером команды (значение 2 также являются данными в этом примере).

SQL-инъекция происходит, когда специально созданный пользовательский ввод обрабатывается принимающей программой таким образом, что позволяет вводу выйти из контекста данных и войти в контекст команды. Это позволяет злоумышленнику изменить структуру выполняемого оператора SQL.

В качестве простого примера представьте, что данные ' susan' в приведенном выше утверждении было предоставлено пользователем. Пользователь ввел строку ' susan' (без апострофов) в поле ввода текста веб-формы, и программа использовала операторы конкатенации строк для формирования приведенного выше оператора SQL из трех фрагментов. select * from person where name=', пользовательский ввод ' susan', и ' and age = 2.

Теперь представьте, что вместо ввода ' susan- вошел нападавший ' or 1=1; --.

Программа будет использовать тот же подход к конкатенации строк с тремя фрагментами select * from person where name=', пользовательский ввод ' or 1=1; --, и ' and age = 2 и построить утверждение select * from person where name='' or 1=1; -- and age = 2. Многие базы данных игнорируют текст после строки '--', поскольку это обозначает комментарий. Теперь структура команды SQL select * from person where name='' or 1=1; и при этом будут выбраны все строки с людьми, а не только строки с именем «Сьюзен», возраст которых равен 2. Злоумышленнику удалось создать строку данных, которая выходит из контекста данных и входит в контекст команды.

Теперь представлен более сложный пример.

Представьте, что программа создает оператор SQL, используя следующую команду присвоения строки:

var statement = "SELECT * FROM users WHERE name = '" + userName + "'";

Этот код SQL предназначен для извлечения записей указанного имени пользователя из таблицы пользователей. Однако если переменная userName создана злонамеренным пользователем определенным образом, оператор SQL может сделать больше, чем предполагал автор кода. Например, установив переменную userName как:

' OR '1'='1

или использование комментариев, чтобы даже заблокировать остальную часть запроса (существует три типа комментариев SQL). ^{[ 9 ]} ). Все три строки имеют пробел в конце:

' OR '1'='1' --
' OR '1'='1' {
' OR '1'='1' /* 

отображает один из следующих операторов SQL на родительском языке:

SELECT * FROM users WHERE name = '' OR '1'='1';

SELECT * FROM users WHERE name = '' OR '1'='1' -- ';

Если бы этот код использовался в процедуре аутентификации, то этот пример можно было бы использовать для принудительного выбора каждого поля данных (*) от всех пользователей, а не от одного конкретного имени пользователя, как предполагал кодировщик, поскольку оценка '1'= «1» всегда верно.

Следующее значение «userName» в приведенном ниже операторе приведет к удалению таблицы «users», а также к выбору всех данных из таблицы «userinfo» (по сути, раскрытию информации о каждом пользователе) с использованием API , который допускает несколько утверждений:

а'; DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't

Эти входные данные отображают окончательный оператор SQL следующим образом и указывают:

SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT * FROM userinfo WHERE 't' = 't';

Хотя большинство реализаций SQL-сервера позволяют таким образом выполнять несколько операторов за один вызов, некоторые API SQL, такие PHP как mysql_query() функция не допускает этого по соображениям безопасности. Это не позволяет злоумышленникам вводить совершенно отдельные запросы, но не мешает им изменять запросы.

Слепая SQL-инъекция используется, когда веб-приложение уязвимо для SQL-инъекции, но результаты внедрения не видны злоумышленнику. Страница с уязвимостью может не отображать данные, но будет отображаться по-разному в зависимости от результатов логического оператора, внедренного в законный оператор SQL, вызванный для этой страницы. Этот тип атаки традиционно считался трудоемким, поскольку для каждого восстановленного бита необходимо было создавать новый оператор, и в зависимости от его структуры атака может состоять из множества неудачных запросов. Последние достижения позволили каждому запросу восстанавливать несколько битов без каких-либо неудачных запросов, что обеспечивает более последовательное и эффективное извлечение. ^{[ 10 ]} Существует несколько инструментов, которые могут автоматизировать эти атаки после того, как будут установлены местоположение уязвимости и информация о цели. ^{[ 11 ]}

Один тип слепой SQL-инъекции заставляет базу данных оценивать логический оператор на экране обычного приложения. Например, веб-сайт с обзором книг использует строку запроса , чтобы определить, какой обзор книги отображать. Итак, URL-адрес https://books.example.com/review?id=5 приведет к тому, что сервер выполнит запрос

SELECT * FROM bookreviews WHERE ID = '5';

откуда он будет заполнять страницу обзора данными из обзора с идентификатором 5, хранящимися в таблице bookreviews. Запрос полностью выполняется на сервере; пользователь не знает имен базы данных, таблицы или полей, а также не знает строку запроса. Пользователь видит только то, что указанный выше URL-адрес возвращает рецензию на книгу. Хакер адреса может загрузить URL- https://books.example.com/review?id=5 OR 1=1 и https://books.example.com/review?id=5 AND 1=2, что может привести к запросам

SELECT * FROM bookreviews WHERE ID = '5' OR '1'='1';
SELECT * FROM bookreviews WHERE ID = '5' AND '1'='2';

соответственно. Если исходный отзыв загружается с URL-адресом «1=1», а с URL-адреса «1=2» возвращается пустая страница или страница с ошибкой, а возвращаемая страница не была создана для предупреждения пользователя, введенные данные недействительны или по другим причинам. словами, был перехвачен входным тестовым сценарием, сайт, скорее всего, уязвим для атаки SQL-инъекцией, поскольку в обоих случаях запрос, скорее всего, пройдет успешно. Хакер может продолжить работу с этой строкой запроса, предназначенной для определения номера версии MySQL , работающей на сервере: https://books.example.com/review?id=5 AND substring(@@version, 1, INSTR(@@version, '.') - 1)=4, который покажет обзор книги на сервере с MySQL 4 и пустую страницу или страницу с ошибкой в ​​противном случае. Хакер может продолжать использовать код в строках запроса для достижения своей цели напрямую или получить дополнительную информацию с сервера в надежде обнаружить другой путь атаки. ^{[ 12 ] [ 13 ]}

SQL-инъекция второго порядка происходит, когда отправленные значения содержат вредоносные команды, которые сохраняются, а не выполняются немедленно. В некоторых случаях приложение может правильно закодировать оператор SQL и сохранить его как действительный SQL. Затем другая часть этого приложения без элементов управления для защиты от внедрения SQL может выполнить этот сохраненный оператор SQL. Эта атака требует дополнительных знаний о том, как отправленные значения используются в дальнейшем. Автоматизированные сканеры безопасности веб-приложений не смогут легко обнаружить этот тип SQL-инъекции, и, возможно, им придется вручную указать, где проверять наличие доказательств того, что такая попытка предпринимается.

SQL-инъекция — это хорошо известная атака, которую легко предотвратить с помощью простых мер. После очевидной атаки SQL-инъекцией на TalkTalk в 2015 году BBC сообщила, что эксперты по безопасности были ошеломлены тем, что такая крупная компания оказалась уязвимой для нее. ^{[ 14 ]} Такие методы, как сопоставление шаблонов, тестирование программного обеспечения и анализ грамматики, являются некоторыми распространенными способами смягчения этих атак. ^{[ 2 ]}

Самый простой способ предотвратить инъекции — экранировать все символы, имеющие особое значение в SQL. В руководстве к СУБД SQL объясняется, какие символы имеют особое значение, что позволяет создать полный черный список символов, требующих перевода. Например, каждое появление одиночной кавычки ( ') в строковом параметре необходимо начинать с обратной косой черты ( \), чтобы база данных понимала, что одинарная кавычка является частью данной строки, а не ее ограничителем. PHP предоставляет mysqli_real_escape_string() функция экранирования строк в соответствии с MySQL семантикой ; В следующем примере SQL-запрос параметризуется путем экранирования параметров имени пользователя и пароля:

Зависимость исключительно от программиста, который старательно экранирует все параметры запроса, представляет собой неизбежный риск, учитывая возможность упущений в процессе. Чтобы смягчить эту уязвимость, программисты могут разработать свои собственные уровни абстракции для автоматизации экранирования параметров. ^{[ 15 ]}

Платформы объектно-реляционного сопоставления (ORM), такие как Hibernate и ActiveRecord, предоставляют объектно-ориентированный интерфейс для запросов к реляционной базе данных. Большинство, если не все, ORM автоматически обрабатывают экранирование, необходимое для предотвращения атак с использованием SQL-инъекций, как часть API запросов платформы. Однако многие ORM предоставляют возможность обходить свои средства сопоставления и генерировать необработанные операторы SQL; неправильное использование этой функции может привести к возможности инъекции. ^{[ 16 ]}

На большинстве платформ разработки можно использовать параметризованные операторы, которые работают с параметрами (иногда называемые заполнителями или переменными привязки ) вместо внедрения в оператор вводимых пользователем данных. Заполнитель может хранить только значение заданного типа, а не произвольный фрагмент SQL. Следовательно, SQL-инъекция будет просто рассматриваться как странное (и, вероятно, недопустимое) значение параметра. Во многих случаях оператор SQL фиксирован, и каждый параметр является скаляром , а не таблицей . Пользовательский ввод затем назначается (привязывается) к параметру. ^{[ 17 ]}

Целочисленные, плавающие или логические строковые параметры можно проверить, чтобы определить, является ли их значение допустимым представлением данного типа. Строки, которые должны соответствовать определенному шаблону или условию (например, даты, UUID , номера телефонов), также можно проверить, чтобы определить, соответствует ли указанный шаблон.

Ограничение разрешений на вход в базу данных, используемых веб-приложением, только теми, которые необходимы, может помочь снизить эффективность любых атак с использованием SQL-инъекций, использующих любые ошибки в веб-приложении.

Например, в Microsoft SQL Server при входе в базу данных можно запретить выбор некоторых системных таблиц, что ограничит возможности эксплойтов, пытающихся вставить JavaScript во все текстовые столбцы базы данных.

deny select on sys.sysobjects to webdatabaselogon;
deny select on sys.objects to webdatabaselogon;
deny select on sys.tables to webdatabaselogon;
deny select on sys.views to webdatabaselogon;
deny select on sys.packages to webdatabaselogon;

• В феврале 2002 года Джеремайя Джекс обнаружил, что Guess.com уязвим для атаки с помощью SQL-инъекции, что позволяет любому, кто может создать правильно созданный URL-адрес, получить более 200 000 имен, номеров кредитных карт и дат истечения срока действия в базе данных клиентов сайта. ^{[ 18 ]}
• 1 ноября 2005 года хакер-подросток с помощью SQL-инъекции взломал сайт тайваньского журнала по информационной безопасности группы Tech Target и украл информацию клиентов. ^{[ 19 ]}
• 13 января 2006 года российские компьютерные преступники взломали веб-сайт правительства Род-Айленда и предположительно украли данные кредитных карт у людей, которые вели онлайн-бизнес с государственными агентствами. ^{[ 20 ]}
• 19 сентября 2007 г. и 26 января 2009 г. турецкая хакерская группа m0sted использовала SQL-инъекцию, чтобы использовать SQL-сервер Microsoft для взлома веб-серверов, принадлежащих заводу боеприпасов армии Макалестера и Инженерному корпусу армии США соответственно. ^{[ 21 ]}
• 13 апреля 2008 года Реестр сексуальных и насильственных преступников Оклахомы номеров закрыл свой веб-сайт для « планового обслуживания » после того, как ему сообщили, что 10 597 социального страхования, принадлежащих сексуальным преступникам, были загружены с помощью SQL-инъекции. ^{[ 22 ]}
• 17 августа 2009 года Министерство юстиции США обвинило американского гражданина Альберта Гонсалеса и двух неназванных россиян в краже 130 миллионов номеров кредитных карт с помощью атаки SQL-инъекции. Сообщается, что это «крупнейший случай кражи личных данных в американской истории», когда мужчина украл карты у ряда корпоративных жертв после исследования их систем обработки платежей . Среди пострадавших компаний были процессор кредитных карт Heartland Payment Systems , сеть магазинов повседневного спроса 7-Eleven и сеть супермаркетов Hannaford Brothers . ^{[ 23 ]}
• В июле 2010 года южноамериканский исследователь безопасности под ником «Ч. Руссо» получил конфиденциальную информацию пользователя с популярного BitTorrent- сайта The Pirate Bay . Он получил доступ к административной панели управления сайтом и воспользовался уязвимостью SQL-инъекции, которая позволила ему собирать информацию об учетных записях пользователей, включая IP-адреса , MD5 хэши паролей и записи о том, какие торренты загружали отдельные пользователи. ^{[ 24 ]}
• С 24 по 26 июля 2010 г. злоумышленники из Японии и Китая использовали SQL-инъекцию, чтобы получить доступ к данным кредитных карт клиентов Neo Beat, компании из Осаки , которая управляет крупным сайтом онлайн-супермаркета. Атака также затронула семь деловых партнеров, включая сети супермаркетов Izumiya Co, Maruetsu Inc и Ryukyu Jusco Co. Сообщается, что в результате кражи данных пострадал 12 191 покупатель. По состоянию на 14 августа 2010 г. сообщалось, что было зарегистрировано более 300 случаев использования информации кредитной карты третьими лицами для покупки товаров и услуг в Китае.
• 19 сентября во время всеобщих выборов в Швеции в 2010 году избиратель предпринял попытку внедрения кода, написав от руки команды SQL в рамках голосования по записи . ^{[ 25 ]}
• 8 ноября 2010 года веб-сайт Королевского военно-морского флота Великобритании был взломан румынским хакером по имени TinKode с помощью SQL-инъекции. ^{[ 26 ] [ 27 ]}
• 11 апреля 2011 г. компания Barracuda Networks была взломана с помощью уязвимости внедрения SQL. адреса электронной почты и имена пользователей сотрудников. Среди полученной информации были ^{[ 28 ]}
• 27 апреля 2011 г. в течение 4 часов на веб-сайте Broadband Reports произошла автоматическая атака с помощью SQL-инъекций , в результате которой удалось извлечь 8% пар имя пользователя/пароль: 8000 случайных учетных записей из 9000 активных и 90000 старых или неактивных учетных записей. ^{[ 29 ] [ 30 ] [ 31 ]}
• 1 июня 2011 года « хактивистов » из группы LulzSec обвинили в использовании SQL-инъекций для кражи купонов , ключей загрузки и паролей, хранившихся в открытом виде на сайте Sony , с целью получения доступа к личной информации миллиона пользователей. ^{[ 32 ]}
• В июне 2011 года PBS был взломан LulzSec, скорее всего, с помощью SQL-инъекции; Полный процесс, используемый хакерами для выполнения SQL-инъекций, был описан в этом блоге Imperva . ^{[ 33 ]}
• Сообщалось, что в июле 2012 года группа хакеров украла 450 000 учетных данных для входа в Yahoo! . Логины хранились в виде текста и предположительно были взяты из поддомена Yahoo! обычного Голоса . Группа взломала безопасность Yahoo, применив « технику SQL-инъекции на основе объединения ». ^{[ 34 ] [ 35 ]}
• личные записи студентов, преподавателей, сотрудников и выпускников 53 университетов, включая Гарвард , Принстон , Стэнфорд , Корнелл , Джонса Хопкинса и Цюрихский университет. 1 октября 2012 года хакерская группа под названием «Team GhostShell» опубликовала на Pastebin .com . Хакеры утверждали, что они пытались «повысить осведомленность об изменениях, произошедших в современном образовании», жалуясь на изменение законов об образовании в Европе и повышение платы за обучение в США . ^{[ 36 ]}
• 4 ноября 2013 года группа хактивистов RaptorSwag предположительно взломала 71 базу данных правительства Китая, используя атаку с помощью SQL-инъекции на Китайскую торговую палату. Утечка данных была опубликована публично при сотрудничестве с Anonymous . ^{[ 37 ]}
• В августе 2014 года базирующаяся в Милуоки компания по компьютерной безопасности Hold Security сообщила, что обнаружила кражу конфиденциальной информации почти с 420 000 веб-сайтов посредством SQL-инъекций. ^{[ 38 ]} The New York Times подтвердила этот вывод, наняв эксперта по безопасности для проверки заявления. ^{[ 39 ]}
• В октябре 2015 года атака с помощью SQL-инъекции была использована для кражи личных данных 156 959 клиентов с серверов британской телекоммуникационной компании TalkTalk с использованием уязвимости в устаревшем веб-портале. ^{[ 40 ]}
• 70 гигабайт данных было украдено В начале 2021 года с крайне правого веб-сайта Gab в результате атаки с использованием SQL-инъекций. Уязвимость была внесена в кодовую базу Gab Фоско Маротто, техническим директором Gab . ^{[ 41 ]} Вторая атака на Габа была начата на следующей неделе с использованием токенов OAuth2, украденных во время первой атаки. ^{[ 42 ]}

• 2007 года В мультфильме xkcd фигурировал персонаж Роберт); DROP TABLE Студенты;-- названы для выполнения SQL-инъекции. Из-за этой карикатуры SQL-инъекцию иногда неофициально называют «таблицами Бобби». ^{[ 43 ] [ 44 ]}
• Несанкционированный вход на веб-сайты посредством SQL-инъекции лежит в основе одного из сюжетов романа Джоан Роулинг 2012 года «Случайная вакансия» .
• В 2014 году физическое лицо в Польше официально переименовало свой бизнес в Dariusz Jakubowski x'; пользователи DROP TABLE; ВЫБЕРИТЕ '1, чтобы попытаться нарушить работу ботов-сборщиков спама . ^{[ 45 ]}
• В игре Hacknet 2015 года есть хакерская программа под названием SQL_MemCorrupt. Это описывается как внедрение записи таблицы, которая вызывает ошибку повреждения в базе данных SQL, а затем запрашивает указанную таблицу, что приводит к сбою базы данных SQL и дампу ядра.

• Внедрение кода
• Межсайтовый скриптинг
• Проект Метасплоит
• OWASP Открытый проект безопасности веб-приложений
• Оперативное внедрение — аналогичная концепция, применимая к искусственному интеллекту.
• Сущность SGML
• Строка неконтролируемого формата
• w3af
• Безопасность веб-приложений

• Шпаргалки по OWASP SQL-инъекциям , автор OWASP.
• Классификация угроз WASC — запись о внедрении SQL , Консорциумом по безопасности веб-приложений.
• Почему SQL-инъекция не исчезнет. Архивировано от 9 ноября 2012 года в Wayback Machine . Стюартом Томасом
• SDL Краткие справочники по безопасности SQL-инъекций от Балы Неерумаллы.
• Как работают бреши безопасности: SQL-инъекция