Verteidigung gegen SQL-Injection-Angriffe - ETH ZÃ¼rich

Weitere Magazine

Empfehlungen

Info

Kapitel 5Ausführen beliebiger SQL-Statements5.1 EinleitungBei gewissen SQL-Statements kann beliebiger SQL-Code eingefügt werden. Am einfachsten geht dies, wenn eineApplikation am Ende eines SQL-Strings einen nummerischen Parameter einfügt. Es ist aber auch möglich, wennder Parameter eine Zeichenkette ist und der eingefügte Wert im SQL-Statement von Anführungszeichen eingeschlossenist. In diesem Fall und im Fall eines nummerischen Parameters, der nicht am Ende des SQL-Statementseingefügt wird, muss das SQL-Statement jedoch einzeilig sein, oder der Parameter, womit der Angreifer Codeeinfügen will, muss in der letzten Zeile des mehrzeiligen SQL-Statements vorkommen. Dann nämlich kann derrestliche Teil des SQL-Statements mit Hilfe von Kommentarzeichen abgeschnitten werden. Nachfolgend ist zubeiden Fällen (nummerischer Parameter und Zeichenkette) je eine Beispiel-Abfrage aufgeführt:SELECT * FROM messages WHERE messageid = ${messageid}SELECT * FROM usersWHERE username = ’${username}’Hierbei seien ${messageid} und ${username} die Parameter, die eingefügt werden.Im ersten Beispiel erfolgt der Angriff relativ einfach:${messageid}0; Dies führt zu folgendem SQL-Statement:SELECT * FROM messages WHERE messageid = 0; Für das zweite Beispiel müssen Kommentarzeichen verwendet werden. In SQL wird dazu die Zeichenkette --verwendet. Aller Text danach (auf derselben Zeile) wird ignoriert. Der Angriff erfolgt folgendermassen:${username}’; --Dies führt zu folgendem SQL-Statement:SELECT * FROM usersWHERE username = ’’; --’23
Das Anführungszeichen am Schluss wird ignoriert, weil es nach dem Kommentarbegrenzer steht.Ein Angreifer kann entweder ein SQL-Statement mit zusätzlichem Code ergänzen, oder er kann zu einem bestehendenSQL-Statement eines oder mehrere Statements hinzufügen, die dann vom Datenbank-Server nacheinanderabgearbeitet werden. Mehrere Statements werden bei den meisten Datenbank-Produkten durch einenStrichpunkt (;) getrennt. Einige Produkte jedoch unterstützen diese Aneinanderreihung von Statements garnicht. Bei diesen Produkten scheitern somit jene Attacken, die an ein bestehendes SQL-Statement eines odermehrere Statements hinzufügen.Es werden nun diverse Angriffe anhand der JSP-Seite showmsg.jsp beschrieben, die alle auf dem oben dargestelltenKonzept beruhen. Das in showmsg.jsp enthaltene SQL-Statement lautet:SELECT * FROM messages WHERE messageid = (Hinweis: Das Attribut escapeXml="false" im Tag ist notwendig, da wir die Daten so in der Datenbankspeichern wollen, wie sie der Benutzer eingegeben hat, und nicht etwa als HTML-Entities. Vgl. Hinweis aufSeite 13.)Die meisten der nachfolgend beschriebenen Angriffe betreffen neben showmsg.jsp auch diverse andere Seiten:• createprofile.jsp (SELECT-Statement)• admin_editprofile.jsp• admin_storeprofile.jsp• admin_deleteprofile.jspDie Benutzereingaben müssen entsprechend angepasst werden, damit der gewünschte Code im jeweiligen SQL-Statement eingebettet werden kann.Einige Seiten sind zwar potenziell anfällig auf SQL-Injection-Angriffe, weil aber die SQL-Statements mehrzeiligsind, ist es nur sehr schwer bis gar nicht möglich, Angriffe durchzuführen. Das Problem ist, dass die Statementsmit Hilfe des Kommentarzeichens (--) nicht vorzeitig beendet werden können. Zu diesen Seiten gehören:• createprofile.jsp (UPDATE-Statement)• storemsg.jsp• storeprofile.jsp (UPDATE-Statement)• storepassword.jsp5.2 Daten einfügenUm Daten in eine Tabelle einzufügen, kann der URL z. B. folgendermassen manipuliert werden:https://localhost:8443/insecure/showmsg.jsp?messageid=1;insert+into+users+values ➥(99,’test’,’test’,’’,’’,’’,’’,’’,’’,’1999-12-31’,’’,’’,’’,true)Der Wert des Parameters messageid ist nun nicht eine einfache Zahl, sondern SQL-Code. Statt der erwartetenZahl wird also dieser Code ins ursprüngliche SQL-Statement eingefügt, so dass dieser Ausdruck entsteht:24
Seite 1 und 2: Verteidigung gegenSQL-Injection-Ang
Seite 3 und 4: AbstractSQL injections are a form o
Seite 5 und 6: VorwortDiese Semesterarbeit wurde v
Seite 7 und 8: eingebettet. Der Angreifer kann dad
Seite 9 und 10: Abbildung 2.1: Login-SeiteHat man n
Seite 11 und 12: Abbildung 2.5: Hauptseite mit Nachr
Seite 13 und 14: Abbildung 2.9: Hauptseite für Admi
Seite 15 und 16: Kapitel 3Beschreibung der Demo-Appl
Seite 17 und 18: CREATE TABLE messages (messageid IN
Seite 19 und 20: Das Feld für das Passwort kann dab
Seite 21 und 22: 4.5 GegenmassnahmenDas Problem bei
Seite 23 und 24: von Zeichenketten verwendet wird. S
Seite 25: nun der Quellcode der JSP-Seite an
Seite 29 und 30: 5.4 Datenbank-Benutzer erstellenFal
Seite 31 und 32: SQL-Statement:SELECT * FROM message
Seite 33 und 34: 5.7.2 Überprüfung der Eingabewert
Seite 35 und 36: Kapitel 6Ermittlung der Tabellenstr
Seite 37 und 38: Kapitel 7Zusammenfassung derGegenma
Seite 39 und 40: Anhang AInstallation der Demo-Appli
Seite 41 und 42: Um die Datenbank-Server zu starten,
Seite 43 und 44: • AJP-Connector ausschaltenDer Ab
Seite 45 und 46: Verwendung der Demo-ApplikationUm d

Verteidigung gegen SQL-Injection-Angriffe - ETH ZÃ¼rich

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?