Portál AbcLinuxu, 24. dubna 2024 13:08
6.5.2009 20:00
xkucf03 | skóre: 49
| blog: xkucf03
+1
String user_name = ...; String password = ...; // tak takto nie Query q1 = new Query ( "insert into users ( username, password ) values ( " + user_name + ", " + password + " );" ); // takto PreparedQuery q2 = new PreparedQuery ( "insert into users ( username, password ) values ( ?,? );" ); q2.setString ( 1, user_name ); q2.setString ( 2, password );Pokial bude v password nieco ako "foo ); drop from users; select ( 1", tak sa vykona:
insert into users ( username, foo ); drop from users; select ( 1 );... a mas problem
23.4.2009 10:50
kozzi | skóre: 55
| blog: vse_o_vsem
| Pacman (Bratrušov)
.
insert into users ( username, password ) values ( 1 ); // na toto povie fail drop table users; // toto s radostou vykona select 1foo);" // a toto zase zfailuje, to ti uz ale nepomoze
23.4.2009 11:54
kozzi | skóre: 55
| blog: vse_o_vsem
| Pacman (Bratrušov)
6.5.2009 20:04
xkucf03 | skóre: 49
| blog: xkucf03
Proč by ty systémové tabulky zahazoval, když si z nich může vyselektovat názvy těch uživatelských?
Rikat si "utocnik nezna nazvy tabulek, nemusim to zabezpecovat" - neni zrovna dobry pristup;))
Jinak nepovolene prihlaseni do jakehokoliv nezabezpeceneho systemu nemusis znat nazvy tabulek ani sloupcu.
napr.:
<tt>
SQL pro overeni hesla uzivatele (" SELECT user WHERE login = '"+login+"' AND passwd = '"+heslo+"';");
</tt>
pokud v promene heslo mas hodnoty:
' OR '1'='1
nebo si zkouset vybrat uzivatele ktereho chces
' OR 1 OFFSET 25 LIMIT 1 --
tak se prihlasis bez znalosti uzivatelskeho hesla - a nemusis znat zadny nazev tabulky ani sloupce.
Jak to s tím souvisí??
23.4.2009 09:23
PreparedStatement a PreparedCall, takže mi SQL injection nehrozí – hodnoty zadané uživatelem se tam zadávají jen jako hodnoty konkrétních parametrů, žádné skládání dotazu z jednotlivých částí.
6.5.2009 20:16
xkucf03 | skóre: 49
| blog: xkucf03
Pokud je ošéfovaná komunikace server -> databáze
Tak ta z principu ošéfovaná být musí, protože přes ni tečou všechna (i citlivá) data.
Jestli hashovat nebo ne, jsem se zabýval v blogu. 
Hashovat mi přijde přirozenější až v DB (je to na jednom místě), ale není to až tak zásadní otázka.
BTW: četl už někdo tyhle zdrojáky? Ke změně hesla tam používám DB funkci, která ověří i to původní heslo -- ten systém by měl být odolný i proti jakkoli zkompromitované (a zpackané) porezentační vrstvě (PHP), ale rád bych, kdyby to po mě ještě někdo přečetl
6.5.2009 20:08
xkucf03 | skóre: 49
| blog: xkucf03
O tom to přece není. Heslo může být všeliaké i když nehashujeme, nebo to ani nemusí být heslo, ale třeba řetězec k vyhledání.
Jediné spolehlivé řešení je, neskládat SQL dotaz/příkaz, nelepit ho z kousků textu -- mít jeden odladěný dotaz s otazníky, za které se pak dosadí* proměnné (v Javě PreparedStatement, v PHP tohle umí PDO)
*) pomocí zvláštní funkce, ne nahrazením textu
co se vstupů týče, osobně např. dbám na escapování uvozovek atd. atd.
To znamená co? Že ty texty od uživatele escapuješ a pak je třeba uložíš do DB? IMHO je lepší pracovat s daty, tak* jak přišly od uživatele a do databáze ukládat čistá data, tedy bez jakéhokoli escapování. Důvody:
*) mluvím teď o ošetření nebezpečných znaků (pro SQL, HTML), ne o kontrolách typu, že e-mail musí vyhovovat regulárnímu výrazu, nebo že text má nějakou maximální délku.
**) mám tu čest pracovat s jednou pěkně zfušovanou aplikací, která neumí UTF-8 a soudruhy z DDR nenapadlo nic lepšího, než ty znaky escapovat na HTML entity. Ono jim to hezky funguje když se text zobrazuje na webu, to by si toho člověk ani nevšiml, ale jakmile se ten text pošle elektronickou poštou (což se s e-maily běžně dělá) mimo ten systém, máme problém – příjemce vidí HTML entity tam, kde žádné HTML nemá, co dělat (např. předmět mailu).
Data je samozřejmě žádoucí ukládat (tedy zařídit aby byla ve výsledku uložena) tak, jak přišla od uživatele
S tím souhlasím…
což v SQL příkazu, kde jsou tato data ohraničena apostrofy, lze zařídit již zmíněným escapováním případných apostrofů v datech
…a s tímhle už ne. Data od uživatele především vůbec není vhodné vkládat přímo do SQL dotazu, protože právě tím si potenciálně zaděláváte na všechny problémy označované jako SQL injection. Pokud data od dotazu oddělíte, nemusíte escapovat nic a neriskujete, že jednou někde něco přehlédnete a vystavíte se tím útoku.
Jinak co se vstupů týče, osobně např. dbám na escapování uvozovek atd. atd.
A to je právě špatně, je to zbytečně komplikované a sebemenší chybička se může vymstít. Hodnoty parametrů prostě nemají v SQL dotazu co dělat. Je to jen historický relikt z dob, kdy PHP rozhraní pro MySQL neumělo pracovat s parametrizovanými dotazy. Ale i to už dost dlouho parametry oddělit umí (pro jiné databáze to šlo i dříve), takže není důvod si zbytečně přidělávat práci a navíc ještě zvyšovat riziko.
Názvy tabulek a sloupců se dají ověřit správně sestaveným selectem. Když tabulka/sloupec neexistuje, select skončí s chybou a vyskočí internal server error. Když existuje, tak se stránka načte. A pokud je ten web opravdu hodně blbě napsaný, šlo by nechat si hlavičky všech tabulek vypsat.
Vkladat se da pres jakykoliv uzivatelsky vstup, ktery se pak vklada do SQL dotazu - tozn. moznosti je spousta:
- URL parametry
- data ve formulari
- http headery (cookies a jakekoliv dalsi)
... doporucuju si koupit nejakou knihu o bezpecnosti webovych aplikaci - SQL injection je jen jedna moznost utoku, ale existuje mnoho dalsich.
Celé to ale předpokládá, že vstup zadaný (jakýmkoli způsobem) uživatelem bude použit jako součást SQL dotazu, což je samo o sobě naprosto zásadní chyba. Přitom dnes už i PHP rozhraní pro MySQL už (konečně) umožňuje se tomu vyhnout. Jenže autoři skriptů si (většinou) nechtějí "přidělávat práci" s bindováním parametrů a dál tvrdošíjně cpu uživatelské vstupy přímo do dotazu.
Takže SQL injection lze v drtivé většině případů velmi snadno a zcela univerzálně předejít a pokud to někdo odmítá udělat, protože "takhle to přeci psal vždycky", případně "takhle to přeci dělají všichni" nebo "takhle to dělá Franta Vomáčka ve své knize", je to jen jeho hloupost.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.