Az SQL Injection

Forrás: Kövi Bálint, vezető programozó

Dátum: 2008-04-29

A weboldalainkat kiszolgáló adatbázis biztonsága kulcsfontosságú. A felhasználók bizalma nem csak abban az esetben rendülne meg, amennyiben a regisztráció alkalmával megadott adataik illetéktelenek kezébe kerülne, hanem akkor is, ha például több órán keresztül lenne látható egy "egyszerű" vandalizmus eredménye. A leggyakrabban előforduló támadás típus az SQL Injection, amelyet részletesebben is bemutatunk cikkünkben. Az SQL Injection alapja

Honlapkészítés, keresőmarketing, keresőoptimalizálás, online PR kampány? Kérje ajánlatunkat itt!

Az SQL Injection lényege

Az SQL Injection lényege az, hogy a rosszindulatú felhasználók egy nem megfelelően ellenőrzött adatbeviteli mezőn keresztül hajthatnak végre a helyzettől függően akár bármilyen adatbázis lekérést.
Az injection típusú támadásoknak több vállfaja is van, a másik igen ismert az e-mail injection, amikor levél küldő űrlapokat (kapcsolatfelvétel, hozzászólás) használnak fel spam küldésre.
Példa SQL Injection-re

SQL Injection típusú támadások

Az alábbiakban olvasható egy egyszerűsített példa az SQL Injection típusú támadásokra:
Tegyük fel, hogy a van egy olyan táblánk, amely a felhasználók bejelentkezési információit – felhasználónevet és jelszót – tárol. Ezeket az információkat egy űrlap segítségével meg lehet adni. A mezőket azonban ki lehet tölteni „trükkösen” is. Akár úgy, hogy a támadó egy saját űrlapot készít, amely a céljainak megfelelően formázott beviteli mezőket tartalmaz, és az eredeti, saját szerverünkön található végrehajtó szkriptnek adja a vezérlést, akár pedig úgy, hogy a böngésző fejlécében paraméterként adja meg saját értékeit.
A lényeg az, hogy a paraméterekben elhelyezett idézőjel vagy aposztrof alkalmazásával „ki lehet törni” az adatok közül. Képzeljük el, hogy az alábbi SQL utasításba minden ellenőrzés nélkül behelyettesítjük a kapott felhasználónevet és jelszót:

SELECT * FROM userinfo WHERE username="" AND password=" "

És a paraméterek alapján az alábbi utasítást is végrehajthatjuk:

SELECT * FROM userinfo WHERE username="felhaszn";DROP TABLE userinfo;" AND password="xyz";

Ekkor az első és a harmadik SQL lekérés hibás, a második viszont teljesen legális.
Megoldás

SQL Injection típusú támadások ellenszere

Kézenfekvő a fenti támadás ellenszere – minden olyan mezőt, ami megbízhatatlan forrásból érkezett, alaposan meg kell vizsgálni. Megbízhatatlannak kell minősítenünk minden olyan beviteli mezőt, amit a felhasználók számára küldött oldalak tartalmaznak.
A gyakorlatban ez azt jelenti, hogy a vezérlőkaraktereket - amelyek segítségével az általunk szerkesztett SQL lekérés mellé újabbakat lehet bejuttatni -, el kell távolítani, vagy pedig escape karakterek eléhelyezésével hatástalanítani kell.

Felmerülhet a kérdés, hogy a támadó honnan tudja megállapítani a táblaneveket; ez csak abban az esetben fordulhat elő, ha például az előző hibás SQL lekérés által visszaadott hibaüzenet ezt az információt tartalmazza.

Újabb fontos megállapítás tehát, hogy sehol nem szabad hagyni, hogy a felhasználó egy – akár csak egy egyszerű adatbázis-túlterhelésből származó – „nyers” hibaüzenettel találkozhasson. Ezáltal egyrészt elkerülhető, hogy a támadók információkhoz jussanak a táblák szerkezetével kapcsolatban, másrészt pedig a rossz szándék nélkül érkezők sem találkoznak szerver által generált hibaüzenetekkel.

Honlapkészítés, online marketing és PR tanácsadás? Kérje ajánlatunkat itt!