Verteidigung gegen SQL-Injection-Angriffe - ETH ZÃ¼rich

Weitere Magazine

Empfehlungen

Info

Kapitel 4Umgehung der Authentifizierung4.1 EinleitungIn diesem Kapitel beschreiben wir, wie ein Angreifer die Authentifizierung eines Benutzers umgehen kann. Esgeht darum, sich ohne Passwort anzumelden. Es gibt dabei für einen Angreifer mehrere mögliche Ziele:• Einloggen als willkürlicher Benutzer• Einloggen als bestimmter Benutzer• Einloggen als AdministratorDie Authentifizierung wird von authenticate.jsp abgewickelt. Das darin enthaltene SELECT-Statement lautetfolgendermassen:SELECT * FROM usersWHERE username = ’’AND password = ’’Die Ausdrücke param.username und param.password beinhalten den vom Benutzer eingegebenen Benutzernamenund das Passwort. (Hinweis: Das Attribut escapeXml="false" im Tag ist notwendig, da wirdie Daten so in der Datenbank speichern wollen, wie sie der Benutzer eingegeben hat, und nicht etwa alsHTML-Entities. Vgl. Hinweis auf Seite 13.)Im Allgemeinen kennt der Angreifer das verwendete SQL-Statement nicht. Es kann aber durch Analyse vonSQL-Fehlermeldungen herausgefunden werden. Wir werden kurz beschreiben, wie ein Angreifer solche Fehlermeldungenmit gezielten Eingaben forcieren und die verwendeten SQL-Statements herausfinden kann, bevor wiruns den eigentlichen Angriffen widmen.Ein Angreifer kann z. B. für das Login auf der Seite index.jsp die folgenden Werte verwenden:Username:Password:’ or(leer)15
Das Feld für das Passwort kann dabei einen beliebigen Wert haben, inklusive einen Leerstring.Mit der Eingabe von ’ or für den Benutzernamen wird erreicht, dass das SQL-Statement syntaktisch unkorrektwird. Es sieht dann folgendermassen aus:SELECT * FROM usersWHERE username = ’’ or’AND password = ’’Es ist klar ersichtlich, dass dieses Statement syntaktisch fehlerhaft ist. Dies wird von Tomcat resp. HSQLDBmit einer entsprechenden Fehlermeldung quittiert:org.apache.jasper.JasperException:SELECT * FROM usersWHERE username = ’’ or’AND password = ’’: Unexpected end of command in statement [SELECT * FROM usersWHERE username = ’’ or’AND password = ’’]Das ganze SQL-Statement ist widergegeben, und der Angreifer kann es ausführlich analysieren. Er kann nundie am Anfang dieses Kapitels aufgeführten Angriffe durchführen.4.2 Einloggen als willkürlicher BenutzerDer einfachste Fall ist, als willkürlicher Benutzer einzuloggen. Dazu kann ein Angreifer für die Felder Usernameund Password die folgenden Werte eingeben:Username: (leer)Password: ’ or ’’ = ’Daraus resultiert das folgende SQL-Statement:SELECT * FROM usersWHERE username = ’’AND password = ’’ or ’’ = ’’Um die Bindungen von AND und OR besser zu erkennen (AND bindet stärker als OR), sind im folgenden SQL-Statement Klammern gesetzt:SELECT * FROM usersWHERE (username = ’’AND password = ’’) or (’’ = ’’)Massgebend für die Erfüllung der Bedingungen ist der letzte Ausdruck ’’ = ’’. Dadurch wird erreicht, dassdie Bedingungen für sämtliche Datensätze erfüllt sind, weil die Felder username und password keine Rolle mehrspielen. Nach der Abfrage überprüft die Applikation, ob mindestens ein Datensatz zurückgeliefert wurde. Fallsdies nicht der Fall ist, existiert der Benutzer nicht und erhält keinen Zugang.Falls mindestens ein Datensatz zurückgeliefert wurde, verwendet die Applikation den ersten dieser Datensätze.Man ist dann als der entsprechende Benutzer eingeloggt. Dieser kann möglicherweise Administratorrechtebesitzen, denn die Benutzer mit Administratorrechten sind in der gleichen Tabelle gespeichert wie dienormalen Benutzer, und die Datensätze werden in unbestimmter Reihenfolge zurückgeliefert.16
Seite 1 und 2: Verteidigung gegenSQL-Injection-Ang
Seite 3 und 4: AbstractSQL injections are a form o
Seite 5 und 6: VorwortDiese Semesterarbeit wurde v
Seite 7 und 8: eingebettet. Der Angreifer kann dad
Seite 9 und 10: Abbildung 2.1: Login-SeiteHat man n
Seite 11 und 12: Abbildung 2.5: Hauptseite mit Nachr
Seite 13 und 14: Abbildung 2.9: Hauptseite für Admi
Seite 15 und 16: Kapitel 3Beschreibung der Demo-Appl
Seite 17: CREATE TABLE messages (messageid IN
Seite 21 und 22: 4.5 GegenmassnahmenDas Problem bei
Seite 23 und 24: von Zeichenketten verwendet wird. S
Seite 25 und 26: nun der Quellcode der JSP-Seite an
Seite 27 und 28: Das Anführungszeichen am Schluss w
Seite 29 und 30: 5.4 Datenbank-Benutzer erstellenFal
Seite 31 und 32: SQL-Statement:SELECT * FROM message
Seite 33 und 34: 5.7.2 Überprüfung der Eingabewert
Seite 35 und 36: Kapitel 6Ermittlung der Tabellenstr
Seite 37 und 38: Kapitel 7Zusammenfassung derGegenma
Seite 39 und 40: Anhang AInstallation der Demo-Appli
Seite 41 und 42: Um die Datenbank-Server zu starten,
Seite 43 und 44: • AJP-Connector ausschaltenDer Ab
Seite 45 und 46: Verwendung der Demo-ApplikationUm d

Verteidigung gegen SQL-Injection-Angriffe - ETH ZÃ¼rich

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?