Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Basi di dati

sql injection sicurezza

SQL INJECTION --- SICUREZZA
.:luxx:.
PREMESSE
Questa guida accenna ad alcuni metodi di SQL injection e si
sofferma sulla prevenzione di tali attacchi, per comprendere al
meglio il testo è necessaria una conoscenza di base del linguaggio
SQL.
INTRODUZIONE
Lo Structured Query Language, meglio conosciuto come SQL, è
quel linguaggio usato per la gestione di strutture database, quindi
viene gestito da linguaggi di programmazione per pagine web
dinamiche come PHP e ASP.
L'SQL injection è una tecnica usata in certi attacchi web, dove si
mira a colpire il database di un sito, o a riuscire ad ottenere
informazioni su di esso sfruttando delle vulnerabilità che vedremo
nel corso della guida.
Di tipologie di database ne esistono diverse, ognuna con le sue
pecche, tra i tanti è bene conoscere MS SQL Server, che a causa
della sua compatibilità con certi comandi è considerato il più
vulnerabile, Oracle e MySQL(considerato il meno vulnerabile).
L'attacco vero e proprio consiste nel riuscire a far passare alla
pagina dinamica particolari query, interrogazioni, che poi invieranno
una certa richiesta al database.
METODI D'INTRUSIONE
L'attacco avviene principalmente attraverso aree di input dell'utente
o tramite url, a seconda che si abbiano diversi metodi della pagina
dinamica di passare i valori al database.
L'utente, ad esempio, potrebbe inserire alcuni caratteri come
l'apostrofo, il doppio trattino, il punto e virgola che hanno un
certo significato in SQL e che potrebbero portare, se utilizzati
correttamente, a risultati diversi.
Immaginiamo ad esempio di avere un modulo di login.
La variabile che prende il valore inserito dalla textbox username la
chiamiamo $username, la variabile della password la chiamiamo
$pass.
Una query mal controllata che gestisce questi dati è una del tipo:
SELECT * from tabella_utenti WHERE username='$username'
AND password='$pass'
In questo caso la query è facilmente modificabile; se si inserisce nel
campo username la stringa prova' OR 1=1-- si ottiene l'accesso
senza aver bisogno di inserire password.
L'apice che inseriamo chiude la reale parte che varrà presa dalla
pagina dinamica di input, ma dopo troviamo OR 1=1, che indica
una condizione che è sempre verificata e che da sempre come
risultato il valore booleano true.
Il doppio trattino, infine indica un commento e serve a rendere
nullo l'ultimo apice.
La query quindi diventa
SELECT * from tabella_utenti WHERE username='prova' OR
1=1--' AND password=''
Di metodi di intrusione ce ne sono diversi, ma ora, iniziamo a
parlare di come prevenirli.
SICUREZZA
Abbiamo già detto che tipologie e metodi di iniezione di codice
SQL ce ne sono diversi, anzi ce ne sono parecchi, quindi non esiste
una vera e propria cura, esistono invece alcune accortezze per
prevenire eventuali attacchi.
La cosa fondamentale è il controllo dell'input inserito dall'utente,
ci serviremo quindi di specifiche funzioni, preferibilmente gestite
lato server, e non da script javascript, per cercare di eliminare, ad
esempio, quei caratteri speciali di cui abbiamo parlato prima.
Altro punto importante è controllare quei messaggi d'errore che
vengono inviati dal server al malintenzionato che cerca di
intrufolarsi nel database, esempio sono i famigerati errori ODBC,
quali avvertono l'utente dell'errore fornendogli “gentilmente” la
parte di codice PHP o ASP interessata dall'errore.
In molti casi, inoltre, le SQL injection si servono di utenti ceh
hanno un certo livello di privilegio nel database, è bene ridurre o
eliminare questa categoria di utenti.
CONTROLLO DEI VALORI
Per eliminare quei caratteri potenzialmente pericolosi dalle nostre
query esistono una serie di funzioni e procedimenti.
Un procedimento comune per contrastare le SQL injection è
l'escape, esso si verifica ad esempio se la direttiva
magic_quotes_gpc del file php.ini è attiva; questa operazione va ad
aggiungere semplicemente un carattere backslash('\') prima di quei
caratteri pericolosi come gli apici singoli o doppi.
magic_quotes_gpc opera sulle variabili passate tramite $_GET,
$_POST e $_COOKIE.
I dati passati alla pagina devono essere inoltre filtrati, ossia devono
subire un controllo sul loro tipo; esempio tipico è il type casting,
che forza una variabile ad essere riconosciuta come un determinato
tipo, è quindi usata se si vuole avere un tipo di dato certo di input.
$valore=(int) $_GET['valore'];
$query=” SELECT * from tabella WHERE input=$valore”;
Ora siamo sicuri che il valore della variabile che viene passata è di
tipo intero.
Una funzione spesso usata per effettuare il type casting è
settype(/*esempio*/$_GET['valore', 'int'];)
Altro metodo per controllare il tipo di valori è usare delle vere e
proprie funzioni di controllo come is_int() oppure gettype().
Spesso è utile filtrare i dati di input attraverso espressioni regolari,
che possono definire, ad esempio, una range di caratteri disponibili
per un login; funzioni che gestiscono questo sono preg_match() e
ereg().
“
E s p r e s s i o n e r e g ol a r e, D a W i k i p e di a , l'e nciclo pe di a
li be r a.
Le espressioni regolari sono sintassi attraverso le quali si possono
rappresentare insiemi di stringhe. Gli insiemi caratterizzabili con
espressioni regolari sono anche detti linguaggi regolari(e coincidono quelli
generabili dalle grammatiche regolari e riconoscibili dagli automi a stati
finiti).
Più rigorosamente possiamo definire un'espressione regolare, a partire da
un alfabeto Σ ed un insieme di simboli {+,*,(,),.,∅} come la stringa R
appartenente a (Σ ∪ {+,*,(,),.,∅})+ tale che valga una delle seguenti
operazioni
1.R = ∅
2.R appartiene a Σ
3.R = S +T oppure R =S T oppure R =S * con S e T sono espressioni
regolari sull'alfabeto Σ
“
In questi casi si può decidere di eliminare i caratteri pericolosi o
semplicemente cambiarli con altri caratteri.
Funzioni che gestiscono queste operazioni sono str_replace(),
preg_replace(), ereg_replace() o strtr().
In precedenza abbiamo parlato dell'escape, gestito dall'attivazione
della direttiva magic_quotes_gpc; bene è da considerare il fatto che
questa operazione non può essere gestita da tutte le tipologie di
server, e sarebbe meglio utilizzare funzioni proprie del database,
come ad esempio mysql_escape_string() o mysql_real_escape
string() per MySQL.
Questi generi di funzioni si possono facilmente reperire sulle
documentazioni delle distribuzioni di database.
Concludo ricordando che questi metodi non hanno un infallibilità
del 100%, ma rimangono comunque delle buone soluzioni per
prevenire questi tipi di attacchi.
.:luxx:.
Documenti correlati
Project Manager IT Sanità - Rif. PMs-MI
Project Manager IT Sanità - Rif. PMs-MI
Teoria dei Database e SQL
Teoria dei Database e SQL
Comando Generale Guardia Di Finanza
Comando Generale Guardia Di Finanza
Tecniche di amministrazione di database Sql Server
Tecniche di amministrazione di database Sql Server
Tema1
Tema1
esercizi database
esercizi database
Docente - Trivento – Istituto Omnicomprensivo "N. Scarano"
Docente - Trivento – Istituto Omnicomprensivo "N. Scarano"
03-09-2015
03-09-2015
Scarica il programma in Pdf
Scarica il programma in Pdf
Corso PL-SQL intensivo
Corso PL-SQL intensivo
Informatica - stein" gavirate
Informatica - stein" gavirate
Per maggiori dettagli - Giuseppe Pietravalle
Per maggiori dettagli - Giuseppe Pietravalle
Scarica