Cara Melindungi Laman Web Anda daripada Serangan Suntikan SQL

SQL Suntikan Serangan: Mata Utama

serangan suntikan SQL adalah ancaman keselamatan laman web yang serius.

Untuk mengelakkan serangan suntikan SQL, jangan mempercayai input pengguna dan selalu sahkan sama ada terdapat corak serangan yang berpotensi. Ini termasuk bukan sahaja input teks, tetapi juga input tersembunyi, parameter rentetan pertanyaan, kuki, dan muat naik fail.

Input pengguna hendaklah disahkan pada sisi pelayan untuk memastikan jenisnya betul dan untuk menghapuskan sebarang perintah yang berpotensi berniat jahat. Ini boleh dicapai dalam pelbagai cara, seperti menambah watak melarikan diri ke input yang boleh mengubah arahan SQL, atau menggantikan input pengguna dalam arahan SQL dengan parameter arahan.

Adalah penting untuk memeriksa kod laman web secara kerap untuk kelemahan yang berpotensi, dan juga penting untuk disediakan untuk serangan suntikan SQL. Langkah -langkah untuk mengehadkan kerosakan yang berpotensi termasuk mengelakkan penggunaan hak pentadbir, menyulitkan data sensitif, dan tidak menyimpan data sensitif melainkan benar -benar diperlukan.

Langkah-langkah perlindungan lain termasuk: Menggunakan sambungan berasingan untuk membaca dan menulis operasi pangkalan data, mengehadkan akses akaun pengguna ke alamat IP tertentu, menggunakan model pengesahan Windows dalam MS SQL Server, dan menggunakan algoritma yang kuat seperti Hash Kata Laluan SHA-2.

Terima kasih kepada Chris Lienert dan Guido Tonnaer atas bantuan mereka mengkaji artikel ini.

Di antara semua serangan terhadap laman web, suntikan SQL adalah yang paling berbahaya dan biasa, dan telah digunakan untuk menyebabkan kerosakan sebenar kepada perniagaan dan organisasi sepanjang tahun lalu. Program ini telah digunakan untuk menyerang organisasi dan syarikat terkenal, termasuk TalkTalk, VTech, Wall Street Journal dan kerajaan A.S ..

Pendek kata, suntikan SQL (juga dikenali sebagai SQLI) mengeksploitasi kelemahan dalam saluran input laman web untuk menyerang pangkalan data backend aplikasi web, yang menyimpan maklumat yang paling sensitif dan berharga. Penyerang boleh menggunakan skim ini untuk mencuri atau merosakkan data, menghalang fungsi aplikasi, dan mendapatkan akses pentadbiran ke pelayan pangkalan data dalam kes terburuk.

Inilah yang perlu anda ketahui mengenai suntikan SQL dan bagaimana untuk melindungi laman web anda dari serangannya.

bagaimana serangan suntikan sql berfungsi

serangan suntikan SQL dilakukan dengan menghantar arahan SQL yang berniat jahat ke pelayan pangkalan data melalui permintaan web. Mana -mana saluran input boleh digunakan untuk menghantar arahan berniat jahat, termasuk elemen bentuk, rentetan pertanyaan, kuki, dan fail.

untuk memahami bagaimana ia berfungsi, katakan anda mempunyai borang log masuk yang menerima nama pengguna dan kata laluan:

Apabila pengguna memasuki kelayakannya dan menekan butang "Login", maklumat akan diterbitkan kembali ke pelayan web anda dan digabungkan dengan arahan SQL. Sebagai contoh, dalam PHP, kod itu kelihatan seperti ini:

$sql_command = "select * from users where username = '" . $_POST['username']; 
$sql_command .= "' AND password = '" . $_POST['password'] . "'"; 

Perintah kemudian akan dihantar ke pelayan pangkalan data, dan dataset yang dihasilkan akan menentukan sama ada nama pengguna dan kata laluan sesuai dengan akaun pengguna yang sah. Input pengguna purata "John" sebagai nama pengguna dan "123456" sebagai kata laluan (dengan cara, tidak pernah menggunakan kata laluan itu) akan ditukar kepada perintah berikut:

SELECT * FROM users WHERE username='john' AND password='123456' 

tetapi jika pengguna memutuskan untuk mencuba sesuatu yang lain, seperti yang berikut:

Perintah yang dihasilkan akan kelihatan seperti ini, dan ia akan sentiasa mengembalikan dataset yang tidak kosong:

Coretan kod ini boleh membenarkan pengguna memintas skrin log masuk tanpa mempunyai kelayakan yang betul.

SELECT * FROM users WHERE username='john' OR 1=1; -- ' AND password='123456' 

Ini adalah salah satu bentuk suntikan SQL yang paling mudah. Dengan hanya sedikit usaha, pengguna yang sama boleh memasukkan akaun pengguna baru, serta memadam atau mengubahsuai akaun pengguna yang sedia ada. Dalam halaman di mana hasilnya dipaparkan, skim yang sama boleh digunakan untuk memaparkan rekod dan maklumat yang pada asalnya terhad kepada dilihat oleh pelawat biasa, atau untuk menukar kandungan rekod.

Dalam kes yang lebih serius, penyerang juga boleh memusnahkan sistem operasi pelayan jika disambungkan ke pelayan pangkalan data melalui akaun pentadbir (seperti "root" dalam MySQL atau "SA" dalam MS SQL Server). Pada pelayan Windows, ini dapat dilihat sebagai penyerang melakukan prosedur yang disimpan, seperti XP_CMDSHELL. Dalam satu kes, penyerang mengeksploitasi kelemahan suntikan SQL untuk membuat akaun pengguna pada pelayan yang dijangkiti, membolehkan fungsi desktop jauh, menyediakan folder SMB yang dikongsi, dan memuat naik malware -kecuali sebenarnya mengacaukan semua yang disimpan dalam pangkalan data.

bagaimana untuk melindungi diri anda dari serangan suntikan SQL

Oleh kerana saluran input pengguna adalah medium utama serangan suntikan SQL, kebanyakan pertahanan melibatkan mengawal dan menyensor input pengguna untuk corak serangan.

Berikut adalah beberapa langkah yang dapat memastikan input pengguna selamat.

jangan mempercayai input pengguna

Peraturan utama mengenai input pengguna adalah "ketidakpercayaan dan sahkan", yang bermaksud bahawa semua bentuk input pengguna harus dianggap berniat jahat kecuali terbukti bahawa ini tidak berlaku. Ini bukan sahaja berfungsi dengan kotak input mudah, seperti kawasan teks dan kotak teks, tetapi juga dengan segala -galanya - seperti menyembunyikan input, menanyakan parameter rentetan, kuki, dan muat naik fail.

Hanya kerana antara muka pengguna penyemak imbas tidak membenarkan pengguna mengendalikan input, itu tidak bermakna ia tidak boleh diganggu. Alat mudah seperti Burp Suite membolehkan pengguna menangkap permintaan HTTP dan mengubah suai apa -apa, termasuk nilai borang tersembunyi, sebelum menyerahkannya ke pelayan. Jika anda fikir anda cukup pintar untuk menyandikan data melalui Base64, pengguna berniat jahat boleh menyahkod, mengubah suai, dan mengulanginya.

Sahkan rentetan input pada sisi pelayan

Pengesahan adalah proses memastikan bahawa pengguna menyediakan jenis input yang betul dan menghapuskan sebarang perintah yang berpotensi berniat jahat yang mungkin tertanam dalam rentetan input. Sebagai contoh, dalam PHP, anda boleh menggunakan mysql_real_escape_string () untuk melepaskan watak -watak yang boleh mengubah sifat perintah SQL.

Versi diubahsuai kod log masuk yang disebutkan di atas adalah seperti berikut:

$sql_command = "select * from users where username = '" . $_POST['username']; 
$sql_command .= "' AND password = '" . $_POST['password'] . "'"; 

Pengubahsuaian mudah ini akan melindungi kod anda dari serangan dengan menambahkan watak melarikan diri () di hadapan petikan tunggal yang sengaja ditambah oleh pengguna yang berniat jahat.

Nota sedikit mengenai pengesahan: Jika anda menambah fungsi pengesahan klien, ia berfungsi dengan baik. Tetapi jangan bergantung kepadanya sebagai pertahanan terhadap serangan suntikan SQL. Walaupun fungsi klien boleh membuat menghantar input jahat ke pelayan anda lebih keras, mudah untuk mengelakkan dengan beberapa tweak dan alat penyemak imbas seperti yang disebutkan di atas. Oleh itu, anda perlu menambahnya dengan pengesahan sisi pelayan.

Beberapa platform pengaturcaraan (seperti ASP.NET) termasuk ciri-ciri terbina dalam yang secara automatik menilai input pengguna untuk kandungan berniat jahat apabila halaman pos. Tetapi penggodam boleh mengelakkan mereka dengan kemahiran yang cukup dan teliti, jadi anda masih perlu menjalankan input pengguna melalui pemeriksa keselamatan anda sendiri. Anda tidak akan terlalu berhati -hati.

Gunakan parameter perintah

Alternatif yang lebih baik daripada melarikan diri adalah dengan menggunakan parameter arahan. Parameter arahan ditakrifkan dengan menambahkan nama pemegang tempat dalam arahan SQL, yang akan digantikan kemudian oleh input pengguna. ASP.NET menyediakan set API yang sangat intuitif dan mudah digunakan untuk tujuan ini.

Berikut adalah kod yang ditulis dalam C# yang menunjukkan cara menggunakan parameter perintah untuk melindungi laman web anda dari serangan suntikan SQL:

SELECT * FROM users WHERE username='john' AND password='123456' 

anda mula -mula membuat objek SQLCommand dan gunakan paradigma @Parameter_Name ke dalam rentetan arahan, ke mana input pengguna harus dimasukkan.

Kemudian anda membuat contoh objek SQLParameter, memasukkan input pengguna di dalamnya, bukannya secara langsung menggabungkannya dengan rentetan arahan.

Akhirnya, anda menambah objek SQLParameter ke koleksi parameter objek SQLCommand, yang akan menggantikan parameter dengan input yang disediakan. ADO.NET bertanggungjawab untuk kerja yang lain.

Dalam PHP, bersamaan adalah pernyataan pra -proses, yang lebih kompleks daripada rakan sejawatannya ASP.NET. Anda boleh meneroka di sini.

penukaran penjelasan input anda

Trik ini berfungsi untuk bahasa lemah seperti PHP, yang bermaksud anda biasanya tidak menentukan jenis data untuk pembolehubah, dan bahasa secara automatik mengendalikan penukaran jenis data yang berbeza antara satu sama lain.

Penukaran penjelasan boleh digunakan sebagai jalan pintas untuk melarikan diri input apabila jenis bukan rentetan terlibat. Oleh itu, jika anda mahu pengguna memasukkan int untuk parameter umur, anda boleh menggunakan kod berikut dalam PHP untuk memastikan input selamat:

SELECT * FROM users WHERE username='john' OR 1=1; -- ' AND password='123456' 

Perhatikan bahawa coretan kod ini hanya mengesahkan jenis input, bukan julatnya. Oleh itu, anda perlu menjalankan kod lain untuk memastikan pengguna tidak memasuki usia negatif -atau usia yang tidak realistik, seperti 1300.

Di samping itu, satu lagi amalan terbaik adalah untuk mengelakkan menggunakan petikan tunggal dalam arahan SQL yang melibatkan input bukan string. Jadi, jangan gunakan kod berikut ...

$sql_command = "select * from users where username = '" . $_POST['username']; 
$sql_command .= "' AND password = '" . $_POST['password'] . "'"; 

... ia akan lebih selamat menggunakan kod berikut:

SELECT * FROM users WHERE username='john' AND password='123456' 

bagaimana untuk membasmi kelemahan suntikan SQL

Sebagai amalan umum, anda harus menyemak kod untuk setiap halaman untuk melihat di mana anda menggabungkan kandungan halaman, arahan, rentetan, dan lain -lain dengan sumber yang mungkin datang dari pengguna. Memeriksa kod sumber anda untuk kelemahan dan kelemahan keselamatan harus menjadi sebahagian daripada proses pembangunan perisian.

Anda juga boleh menggunakan alat pengimbasan seperti SQLMAP untuk merangkak halaman laman web dan mencari potensi kelemahan suntikan SQL. Malah, penggodam sering menggunakan alat ini untuk mencari dan memanfaatkan vektor serangan suntikan SQL di laman web sasaran, jadi mengapa tidak menggunakannya untuk meningkatkan keselamatannya?

barisan pertahanan terakhir anda

Tidak kira bagaimana anda menguatkan keselamatan laman web anda, anda perlu bersedia untuk hari ketika suntikan SQL berlaku. Lagipun, seperti yang terkenal dalam industri keselamatan siber, pembela perlu memenangi setiap pertempuran, tetapi penggodam hanya perlu menang sekali.

Berikut adalah beberapa petua untuk membantu anda meminimumkan kerosakan apabila anda menjadi mangsa suntikan SQL.

Elakkan keizinan pentadbir

Menghubungkan aplikasi web anda ke pelayan pangkalan data menggunakan akaun "root" atau "sa" adalah salah satu kesilapan yang paling serius yang boleh anda buat. Seperti yang telah saya sebutkan, akaun pentadbir yang dikompromi boleh memberi akses kepada seluruh sistem. Malah akaun bukan Admin boleh menyebabkan kerosakan, yang boleh mengakses semua pangkalan data dalam pelayan, terutamanya jika pelayan pangkalan data dikongsi antara aplikasi dan pangkalan data yang berbeza.

Oleh itu, lebih baik menggunakan akaun yang mudah membaca dan menulis keizinan ke pangkalan data tertentu yang terletak di belakang laman web, jadi jika laman web anda digodam melalui suntikan SQL, skop kerosakan akan terhad kepada itu pangkalan data tunggal dalam julat.

Pendekatan yang lebih maju adalah menggunakan sambungan berasingan untuk segmen kod yang dibaca dari atau menulis ke pangkalan data dan selanjutnya mengurangkan keizinan dan peranan setiap segmen. Sebagai contoh, halaman senarai (tidak mengubah suai pangkalan data, tetapi secara meluas menggunakan parameter carian) boleh dikodkan menggunakan sambungan baca sahaja ke pangkalan data untuk meningkatkan lagi rintangan kesalahan kod.

Di MySQL, keselamatan diperbaiki dengan mengehadkan akses kepada akaun pengguna ke julat alamat IP tertentu (bukan model "%") untuk mengelakkan akses kepada akaun yang rosak dari lokasi terpencil.

Dalam MS SQL Server, saya sangat mengesyorkan bahawa anda menggunakan model Pengesahan Windows, yang akan mengehadkan akses penggodam ke pangkalan data dan memastikan bahawa mereka tidak dapat menggunakan saluran lain untuk memasukkan pangkalan data anda.

Di samping itu, melainkan jika anda merancang untuk menggunakan beberapa ciri canggih SQL Server, lebih baik untuk menyediakan perkhidmatan Windows untuk menggunakan akaun terhad dan bukannya akaun "sistem tempatan" yang tinggi. Jika akaun "SA" dipecahkan, ini akan meminimumkan kerosakan.

menyulitkan data sensitif

menyulitkan data sensitif dalam pangkalan data. Ini termasuk kata laluan, soalan keselamatan dan jawapan, data kewangan, maklumat kesihatan, dan maklumat lain yang mungkin berguna kepada pelakon berniat jahat. Ini akan memastikan bahawa walaupun penggodam mempunyai data anda di tangan, mereka tidak dapat mengeksploitasi dengan segera, yang memberi anda masa untuk menemui kelemahan, kelemahan pasang dan mengambil reaksi lain, seperti penetapan kata laluan paksa, yang akan memastikan data yang dicuri di bawah serangan orang kehilangan nilainya sebelum menafsirkan.

Jika anda hassing kata laluan anda, gunakan algoritma yang kuat seperti SHA-2, yang akan menjadi standard industri untuk perlindungan kata laluan. MD5 dan SHA-1 sudah lapuk dan boleh dibalikkan.

Untuk bentuk penyulitan lain, sila perhatikan lokasi di mana anda menyimpan kunci anda dan jangan mengambil satu pertaruhan. Sekiranya kunci berada di sebelah data yang disulitkan dan penggodam akan mudah mengaksesnya sebaik sahaja pelayan dikompromi, maka tidak ada gunanya menggunakan penyulitan.

Jika tidak diperlukan, jangan simpan data sensitif

Setiap kali anda menyimpan maklumat dalam pangkalan data, pertimbangkan berapa banyak kerosakan yang akan menyebabkan jika maklumat jatuh ke tangan orang jahat dan memutuskan sama ada anda benar -benar perlu menyimpannya. Ashley Madison Hacker membocorkan rahsia gelap dan maklumat paling peribadi kira -kira 37 juta orang ke Internet dan menyebabkan beberapa kerosakan yang serius, sebahagiannya disebabkan kegagalan pembekal untuk memadamkan maklumat sensitif dari pangkalan datanya.

Jadi garis bawah adalah, jangan menyimpan maklumat sensitif dalam pangkalan data melainkan jika anda benar -benar perlu. Walaupun begitu, padamkan mesej apabila ia tidak lagi berguna.

Pemikiran Akhir

Suntikan SQL telah wujud selama beberapa dekad dan mungkin terus mengatasi kedudukan kelemahan pada tahun -tahun akan datang. Ia hanya mengambil beberapa mudah - tetapi dikira dengan teliti - langkah -langkah untuk melindungi anda dan pengguna anda daripadanya, dan ia harus menjadi salah satu keutamaan anda ketika mengkaji kod sumber untuk pelanggaran keselamatan.

Kunci untuk mengelakkan menjadi mangsa pelanggaran data suntikan SQL yang besar adalah: pertama, mengawal dan mengesahkan input pengguna;

Soalan Lazim untuk melindungi laman web anda dari serangan suntikan SQL

Apakah langkah pertama untuk melindungi laman web saya dari serangan suntikan SQL?

Langkah pertama dalam melindungi laman web anda dari serangan suntikan SQL adalah untuk memahami suntikan SQL. Suntikan SQL adalah teknik suntikan kod yang digunakan oleh penyerang untuk memasukkan pernyataan SQL yang berniat jahat ke medan input untuk pelaksanaan. Ini boleh menyebabkan akses yang tidak dibenarkan kepada data sensitif, kehilangan data dan juga rasuah data. Sebaik sahaja anda memahami ini, anda boleh melaksanakan langkah -langkah seperti pengesahan input, pertanyaan parameter, dan menggunakan prosedur tersimpan untuk melindungi laman web anda.

Bagaimanakah pengesahan input membantu mencegah serangan suntikan SQL?

Pengesahan input adalah kaedah untuk menentukan sintaks, kandungan dan nilai logik input pengguna. Dengan melakukan ini, anda boleh menghalang penyerang daripada memasukkan kod SQL yang berniat jahat ke dalam medan input laman web. Ini kerana proses pengesahan input akan menolak sebarang input yang tidak memenuhi kriteria yang ditetapkan.

Apakah pertanyaan parameter? Bagaimanakah mereka menghalang serangan suntikan SQL?

Parameterized Query adalah jenis pertanyaan SQL di mana pemegang tempat digunakan untuk mewakili nilai, dan nilai itu sendiri disediakan pada masa pelaksanaan. Ini bermakna walaupun penyerang cuba memasukkan kod SQL yang berniat jahat, ia akan dianggap sebagai rentetan literal, bukannya sebahagian daripada arahan SQL. Ini berkesan menghalang serangan suntikan SQL.

Bagaimanakah prosedur tersimpan membantu mencegah serangan suntikan SQL?

Prosedur yang disimpan adalah penyataan SQL yang disimpan dalam pangkalan data dan boleh dipanggil oleh aplikasi. Mereka boleh membantu mencegah serangan suntikan SQL, kerana mereka tidak membenarkan akses langsung ke pangkalan data. Sebaliknya, mereka menggunakan parameter yang tidak dilaksanakan sebagai perintah SQL, dengan itu menghalang sebarang kod SQL yang disuntik daripada dilaksanakan.

Apakah peranan yang dimainkan oleh pengendalian ralat dalam mencegah serangan suntikan SQL?

Pengendalian ralat yang betul boleh membantu mencegah serangan suntikan SQL dengan tidak mendedahkan sebarang maklumat mengenai struktur pangkalan data atau sintaks SQL. Ini kerana apabila ralat berlaku, mesej ralat dapat memberikan penyerang dengan petunjuk mengenai struktur pangkalan data atau sintaks SQL yang kemudiannya dapat digunakan untuk meningkatkan serangan mereka.

Bagaimana saya menggunakan prinsip kebenaran minimum untuk melindungi laman web saya dari serangan suntikan SQL?

Prinsip Kebenaran Minimum bermaksud hanya menyediakan akaun pengguna atau proses dengan keizinan yang diperlukan untuk melaksanakan fungsi yang dimaksudkan. Sebagai contoh, jika akaun pengguna hanya perlu membaca data dari pangkalan data, ia tidak perlu memberikan akses menulisnya. Ini dapat membantu mencegah serangan suntikan SQL dengan mengehadkan apa yang boleh dilakukan oleh penyerang apabila mereka cuba mengeksploitasi kelemahan.

Apakah peranan yang dimainkan oleh kemas kini biasa dalam mencegah serangan suntikan SQL?

Kemas kini tetap adalah penting untuk mencegah serangan suntikan SQL, kerana ia biasanya mengandungi patch untuk kelemahan yang diketahui. Dengan mengekalkan perisian anda sehingga kini, anda boleh memastikan anda dilindungi daripada kelemahan yang diketahui yang boleh dieksploitasi oleh serangan suntikan SQL.

Bagaimana saya menggunakan firewall aplikasi web untuk melindungi laman web saya dari serangan suntikan SQL?

Aplikasi Web Firewall (WAF) boleh membantu melindungi laman web anda dari serangan suntikan SQL dengan menapis dan memantau trafik HTTP antara aplikasi web dan Internet. Ia boleh mengenal pasti dan menyekat serangan suntikan SQL dengan mengesan kod SQL yang berniat jahat dalam permintaan HTTP.

Apakah peranan yang dimainkan oleh sistem pengesanan pencerobohan dalam mencegah serangan suntikan SQL?

Sistem Pengesanan Pencerobohan (IDS) boleh membantu mencegah serangan suntikan SQL dengan memantau lalu lintas rangkaian dan mengesan aktiviti yang mencurigakan. Sekiranya ID mengesan serangan suntikan SQL yang berpotensi, ia boleh memberi amaran kepada pentadbir untuk mengambil langkah -langkah untuk mengelakkan serangan.

Bagaimana saya menggunakan penyulitan untuk melindungi laman web saya dari serangan suntikan SQL?

penyulitan boleh membantu melindungi laman web anda dari serangan suntikan SQL dengan menjadikannya lebih sukar bagi penyerang membaca data sensitif. Walaupun penyerang berjaya mengeksploitasi kelemahan suntikan SQL, mereka masih perlu menyahsulit data untuk menggunakannya.

Atas ialah kandungan terperinci Cara Melindungi Laman Web Anda daripada Serangan Suntikan SQL. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!