Введение в Web. SQL-Injection

Содержание

Слайд 2

Соревнования Capture the Flag

SQL-Injection
Blind SQL over JSON
Dom based XSS – Ajax
XSS with

Соревнования Capture the Flag SQL-Injection Blind SQL over JSON Dom based XSS
Flash
DoS-атака(Denial of Service)
Buffer Overflow
Реверс инженерия
Стеганография/Криптография

Слайд 3

Взаимодействие в Web

Клиент(Браузер, Opera, Firefox, telnet, etc.) ↔ Сервер(Веб-сайт, Apache, IIS, Nginx)

Взаимодействие в Web Клиент(Браузер, Opera, Firefox, telnet, etc.) ↔ Сервер(Веб-сайт, Apache, IIS,
↔ СУБД(MySQL, OracleDB, MSSQL)

Слайд 4

URL(RFC3986)

foo://example.com:8042/over/there?name=ferret#nose
Scheme := foo(http, https, ftp)
Authority := example.com:8042(домен, порт)
Path := /over/there
Query := name=ferret(после

URL(RFC3986) foo://example.com:8042/over/there?name=ferret#nose Scheme := foo(http, https, ftp) Authority := example.com:8042(домен, порт) Path
?)
Fragment := nose(после #)

Слайд 5

Cookie

Используются для авторизации на сайте, хранения персональных данных.
Авторизация:
Вводим user_email, password
Браузер отправляет

Cookie Используются для авторизации на сайте, хранения персональных данных. Авторизация: Вводим user_email,
их на сервер
Сервер проверяет существует ли такой пользователь
Если существует, то в браузере(и в каком-то виде на сервере) сохраняется значения user_email и «секрет».

Слайд 6

Cookie

Параметры
Ключ-значения(user_email=vasia@mail.ru)
Время жизни(минута, час, год)
Путь(http://ya.ru/mail/show/show_mail.php)
Домен(http://ya.ru)
Cookie посылается обратно серверу только в том случае, если

Cookie Параметры Ключ-значения(user_email=vasia@mail.ru) Время жизни(минута, час, год) Путь(http://ya.ru/mail/show/show_mail.php) Домен(http://ya.ru) Cookie посылается обратно
имя хоста, с которого запрашиваются страницы, заканчивается строкой с именем указанного до мена.

Слайд 7

Клиет/Браузер

Хотим отрыть URL http://blogsphere.ru/show_mail.php?user_id=5&mail_dir=inbox
Получаем IP-адресс blogsphere.ru 10.7.22.9
Протокол HTTP — port=80(обычно)
Создаем socket
Делаем connect

Клиет/Браузер Хотим отрыть URL http://blogsphere.ru/show_mail.php?user_id=5&mail_dir=inbox Получаем IP-адресс blogsphere.ru 10.7.22.9 Протокол HTTP —

Слайд 8

Клиент/Браузер

Хотим отрыть URL http://blogsphere.ru/show_mail.php?user_id=5&mail_dir=inbox
Браузер пишет в socket(с помощью send, write) следующий текст
GET

Клиент/Браузер Хотим отрыть URL http://blogsphere.ru/show_mail.php?user_id=5&mail_dir=inbox Браузер пишет в socket(с помощью send, write)
http://blogsphere.ru/show_mail.php?user_id=5&mail_dir=inbox HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Cookie: user_email=vasia@mail.ru; signature=0adb5668b52ad56861d43a682f16f1de

Слайд 9

Сервер

Сидит в accept(ждет клиента)
Пришел клиент(socket). Вычитывает запрос клиента(с помощью recv, read)
Формируются некоторые

Сервер Сидит в accept(ждет клиента) Пришел клиент(socket). Вычитывает запрос клиента(с помощью recv,
массивы(php)
$_GET['user_id'] = 5
$_GET['mail_dir'] = 'inbox'
$_COOKIE['user_email']='vasia@mail.ru'
$_COOKIE['signature']='0adb5668b52ad56861d43a682f16f1de'

GET http://blogsphere.ru/show_mail.php?user_id=5&mail_dir=inbox HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Cookie: user_email=vasia@mail.ru; signature=0adb5668b52ad56861d43a682f16f1de

Слайд 10

Основы СУБД/SQL

СУБД — набор программ для работы с БД.
БД — набор таблиц
Таблица

Основы СУБД/SQL СУБД — набор программ для работы с БД. БД —
— поля, набор значений

Слайд 11

СУБД/SQL

Получение данных(в результате получим первую строчку)
SELECT text_mail, datetime FROM tb_name WHERE user_id=3

СУБД/SQL Получение данных(в результате получим первую строчку) SELECT text_mail, datetime FROM tb_name
AND mail_id=1;
Вставка данных
INSERT INTO tb_name VALUES(2, 3, 'Hi!', '2011-02-03 12:12:03', 5)
Удаление таблицы
DROP tb_name;

Слайд 12

SQL-Injection

Незапланированное внедрение кода
В коде есть запрос к БД
$query = “SELECT * FROM

SQL-Injection Незапланированное внедрение кода В коде есть запрос к БД $query =
table WHERE password = '$_GET[“password”]’ AND user_id = $_GET['user_id']“
Пусть от клиента пришли следующие данные
$_GET['password'] = 1' OR 1=1; /*!DROP TABLE table*/ --
$_GET['user_id'] = 100500
После подстановки параметров получим
$query = “SELECT * FROM table WHERE password = ‘1’ OR 1=1 ; /*!DROP TABLE table*/ -- 'AND user_id=100500“

Слайд 13

Защита на уровне приложения

Проверка ввода(RegExp)
Параметризованные запросы
Пример:
SELECT * FROM table_name WHERE user_id =

Защита на уровне приложения Проверка ввода(RegExp) Параметризованные запросы Пример: SELECT * FROM
? AND user_password = ?
При вызове запроса передаем параметры и СУБД сама выполняет безопасную подстановку

Слайд 14

Нормализация/Обфускация

Раскодирование символов(стандарт RFC 3986):
Символы (%41 - 5А% и %61 -%7A), цифры (%30

Нормализация/Обфускация Раскодирование символов(стандарт RFC 3986): Символы (%41 - 5А% и %61 -%7A),
-%39), дефис (%2D), точка (% 2E), подчеркивания (%5F) или тильды (%7E)
http://example.com/%7Eusername/ --> http://.example.com/~username/
Раскодирование hex последовательностей:
http://example.com/show?param=foo%2Fbar%2Bbaz#.D0.A1.D1.81.D1.8B.D0.BB.D0.BA.D0.B8 ---> http://example.com/show?param=foo/bar+baz#
Пример обфускации:
http://www.modsecurity.org/testphp.vulnweb.com/artists.php?artist=0+div+1+union%23foo*%2F*bar%0D%0Aselect%23foo%0D%0A1%2C2%2Ccurrent_user
Раскодируется:
http://www.modsecurity.org/testphp.vulnweb.com/artists.php?artist=0+div+1+union#foo*/*bar select#foo 1,2,current_user

Слайд 15

Защита числовых параметров

Атака
SELECT password FROM tb_users WHERE user_id = 10 OR 1=1
Экранирование

Защита числовых параметров Атака SELECT password FROM tb_users WHERE user_id = 10
не защищает!
Существующие способы(на уровне приложения)
Приведение типа(intval)

Слайд 16

Защита строковых параметров

Использовать экранирование(добавляем \ перед ', и т.д.)
Атака
SELECT * FROM table

Защита строковых параметров Использовать экранирование(добавляем \ перед ', и т.д.) Атака SELECT
WHERE name = 'Д'Артаньян ‘ DROP TABLE --‘ ?
SELECT * FROM table WHERE name = 'Д\'Артаньян \’ DROP TABLE --‘

Слайд 17

Summary

Чтобы проверить сайт на уязвимости
Добавить ' OR 1=1 в URL
http://site.ru/index.php?id=1 ' OR

Summary Чтобы проверить сайт на уязвимости Добавить ' OR 1=1 в URL
1=1
Возможно в ответе будет текст ошибки, что говорит о небезопасном коде на сервере
Если не понятно происходит ли атака
Более интересный вариант добавить к запросу SLEEP(5) — если страница будет грузится на 5 секунд дольше, то можно провести атаку.

Слайд 18

Как потренироваться

Установить Apache+MySQL+PHP
Для Windows всё это ставится одним пакетом denwer
http://localhost/tools/phpmyadmin
Заходим в папку

Как потренироваться Установить Apache+MySQL+PHP Для Windows всё это ставится одним пакетом denwer
Z:/home/test1.ru/www/index.php
В нем пишем код
И тестируем через браузер адрес http://test1.ru
http://zaic101.ru/daredevil/sql_inj/ - войти не зная пароля, путем ввода в поля SQL-Injection

Слайд 19

Литература

Безопасность
Ховард М., Лебланк Д. Защищенный код
Syngress - SQL Injection Attacks and Defense

Литература Безопасность Ховард М., Лебланк Д. Защищенный код Syngress - SQL Injection

Скляров И.С. – Головоломки для хакера
Джек Козиол - Искусство взлома и защиты систем
Сайт OWASP
PHP
Гутманс Э. и др. - PHP5. Профессиональное программирование
Дэвид Скляр – PHP сборник рецептов.
JavaScript + Ajax
Дэвид Флэнаган – JavaScript Подробное руководство
Бринзаре, Дари, Черчез - AJAX и PHP. Разработка динамических веб-приложений
SQL
Tutorial с сайта MySQL refman-4.0-ru.html-chapter
Глава 3. Учебное пособие по MySQL

Слайд 20

Проект в лаборатории Parallels - «Защита от SQL-Injection»

Постановка задачи
Имеется архитектура
Есть сервер на

Проект в лаборатории Parallels - «Защита от SQL-Injection» Постановка задачи Имеется архитектура
котором работает много сайтов. Клиент посылает запрос к сайту. Сначала запрос приходит на proxy — nginx Последний направляет запрос на нужный сайт.

Слайд 21

Проект в лаборатории Parallels - «Защита от SQL-Injection»

Проект в лаборатории Parallels - «Защита от SQL-Injection»

Слайд 22

Проект в лаборатории Parallels - «Защита от SQL-Injection»

Постановка задачи
Необходимо организовать фильтрацию трафика,

Проект в лаборатории Parallels - «Защита от SQL-Injection» Постановка задачи Необходимо организовать
на предмет атак. И если пользователь послал запрос с атакой, то блокировать его. Необходимо реализовать аналог WAF(Web Application Firewall)
Предлагаемое решение
Просканировать сайт выявив уязвимые места, на основе данных сканирования реализовать фильтрацию/защиту.

Слайд 23

Задачи

Получить все ссылки на сайте
На вход подается адрес сайта(например http://fenster.name)
В результате должен

Задачи Получить все ссылки на сайте На вход подается адрес сайта(например http://fenster.name)
сформироваться фаил
http://fenster.name/group.php?id=8201
http://fenster.name/blog.php?note=10
И т.д.(при этом http://fenster.name/group.php?id=8201 и http://fenster.name/group.php?id=9201 считается идентичными, и необходимо вывести только одну)
Реализация: Небольшой пример есть в книге Гутманс и др.PHP5 Профессиональное программирование, конец главы 11

Слайд 24

Задачи

Найти уязвимые параметры
На вход подается список ссылок
http://fenster.name/group.php?id=8201
http://fenster.name/blog.php?note=10
Нужно определить параметры на которые может

Задачи Найти уязвимые параметры На вход подается список ссылок http://fenster.name/group.php?id=8201 http://fenster.name/blog.php?note=10 Нужно
быть совершена атака(например node_id)
Реализация: Можно использовать существующие сканеры(например sqlmap) запустить его и распарсить его лог. Так же можно попробывать написать собственный сканер основываясь на SLEEP, и других методах. Чем больше будет использовано сканеров тем лучше.
Имя файла: Введение-в-Web.-SQL-Injection.pptx
Количество просмотров: 222
Количество скачиваний: 3