Добавил:

Vasa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Тернопольский национальный технический университет им. И. Пулюя

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Лабораторна робота №5 - SQL-ін’єкції

.pdf

Скачиваний:

127

Добавлен:

23.10.2019

Размер:

155.65 Кб

Скачать

☆

ЛАБОРАТОРНА РОБОТА 5: SQLІН’ЄКЦІЇ

Мета роботи: ознайомитися із способами здійснення атак на використання SQL ін’єкцій.

5.1 Теоретичні відомості

SQL ін'єкція – один з поширених способів злому сайтів та програм, що працюють з базами даних, заснований на впровадженні в запит довільного SQLкоду.

Впровадження SQL, залежно від типу СКБД та умов впровадження, може дати можливість атакуючому виконати довільний запит до бази даних (наприклад, прочитати вміст будьяких таблиць, видалити, змінити або додати дані), отримати можливість читання та/або запису локальних файлів та виконання довільних команд на сервері.

Атака типу впровадження SQL може бути можлива за некоректної обробки вхідних даних, що використовуються вSQLзапитах.

Розробник застосунків, що працюють з базами даних, повинен знати про таку уразливість і вживати заходів протидії впровадженню SQL.

Принцип атаки

Припустимо, серверне ПЗ, отримавши вхідний параметрid, використовує його для створення SQLзапиту. Розглянемотакий PHPскрипт:

$id = $_REQUEST['id'];

$res = mysql_query("SELECT * FROM news WHERE id_news = $id");

Якщо на сервер переданий параметр id, що дорівнює 5(наприклад так: http://example.org/script.php?id=5), то виконається такий SQLзапит:

SELECT * FROM news WHERE id_news = 5

Але якщо зловмисник передасть як параметр id рядок 1 OR 1=1 (наприклад,

так: http://example.org/script.php?id=1+OR+1=1), то виконається запит:

SELECT * FROM news WHERE id_news =1 OR 1=1

Таким чином, зміна вхідних параметрів шляхом додавання в них конструкцій мови SQL викликає зміну в логіці виконання SQLзапиту (в цьому прикладі замість новини із заданим ідентифікатором будуть вибрані всі наявні в базі новини, оскільки вираз 1=1 завжди істинний).

Впровадження в рядкові параметри

Припустимо, серверне ПЗ, отримавши запит на пошук даних у новинах параметр search_text, використовує його в наступному SQLзапиті (тут параметри екрануються лапками):

$search_text = $_REQUEST['search_text'];

$res = mysql_query("SELECT id_news, news_date, news_caption, news_text, news_id_author FROM news WHERE news_caption LIKE('%%$search_text%%') ");

Зробивши запит виду http://example.org/script.php?search_text=Test ми отримаємо виконання такого SQLзапиту:

SELECT id_news, news_date, news_caption, news_text, news_id_author FROM news WHERE news_caption LIKE('%%Test%%')

Але, запровадивши в параметр search_text символ лапки (який використовується в запиті), ми можемо кардинально змінити поведінку SQLзапиту. Наприклад,

передавши як параметр search_text значення ') +and+ (news_id_author='1, ми змусимо виконати запит:

SELECT id_news, news_date, news_caption, news_text, news_id_author FROM news WHERE news_caption LIKE('%%') and (news_id_author='1%%')

Методика атак типу впровадження SQLкоду – пошук скриптів, уразливих для

атаки

На цьому етапі зловмисник вивчає поведінку скриптів сервера при маніпуляції вхідними параметрами з метою виявлення їх аномальної поведінки. Маніпуляція відбувається всіма можливими параметрами:

Даними, переданими через методи POST і GET.

Значеннями [HTTPCookie].

HTTP_REFERER (для скриптів).

AUTH_USER та AUTH_PASSWORD (при використанні аутентифікації).

Як правило, маніпуляція зводиться до підстановки в параметри символу одинарної (рідше подвійний або зворотної) лапки.

Аномальною поведінкою вважається будьяка поведінка, при якому сторінки, одержувані до і після підстановки лапок, розрізняються (і при цьому немає повідомлення про неправильний формат параметрів).

Найчастіші приклади аномальної поведінки:

виводиться повідомлення про різні помилки;

при запиті даних (наприклад, новини або списку продукції) запитувані дані не виводяться взагалі, хоча сторінка відображається

іт. д.

Слід враховувати, що відомі випадки, коли повідомлення про помилки, в силу специфіки розмітки сторінки, не видно в браузері, хоча і присутні в її HTMLкоді.

5.2 Порядок виконання роботи

1.Завантажити образ віртуальної машини Linux із вебсайтом, що містить вразливість SQLін’єкцій за посиланням

https://ptl.io/from_sqli_to_shell_II_i386.iso

2.Розгорнути завантажений образ на віртуальній машині.

3.Слідувати інструкціям описаним за посиланням:

https://www.pentesterlab.com/exercises/from_sqli_to_shell_II/course

5.3Контрольні запитання

1.Що таке SQLін’єкція?

2.Механізми здійснення SQLін’єкцій?

5.4Перелік джерел

1.https://www.owasp.org/index.php/SQL_Injection [SQL Injection].

2.https://www.owasp.org/index.php/Blind_SQL_Injection[Blind SQL Injection].

3.http://www.websec.ca/kb/sql_injection [The SQL Injection Knowledge Base].

4.Walker M. CEH Certified Ethical Hacker: Exam Guide (AllinOne) / M. Walker

–McgrawHill Osborne Media; Har/Cdr edition, 2011. – 395 c.

Соседние файлы в папке 3.2_Методології аудиту захищеності інформаційно-комунікаційних систем

#
23.10.2019142.9 Кб132Лаблраторна робота №1 - Розгортання робочого середовища для аудиту захищеності комп'ютерних систем.pdf
#
23.10.2019275.52 Кб129Лабораторна робота №2 - Збір інформації про комп’ютерну систему.pdf
#
23.10.2019192.52 Кб125Лабораторна робота №3 - Мережеві перерахування.pdf
#
23.10.2019118.35 Кб126Лабораторна робота №4 - DoS-атаки.pdf
#
23.10.2019155.65 Кб127Лабораторна робота №5 - SQL-ін’єкції.pdf
#
23.10.2019131.94 Кб121Лабораторна робота №6 - Переповнення буфера.pdf