Verteidigung gegen SQL-Injection-Angriffe - ETH ZÃ¼rich

Weitere Magazine

Empfehlungen

Info

Abbildung 5.2: Angriff: Systemvariablen anzeigen5.7 GegenmassnahmenIn Fall der in diesem Kapitel gezeigten Angriffe anhand der Seite showmsg.jsp stammen die Daten nicht voneinem HTML-Formular, sondern von URL-Parametern. Dieser Unterschied macht sich aber lediglich im HTTP-Protokoll bemerkbar. Der Application-Server liefert der Applikation beide Arten von Parametern in derselbenWeise, nämlich mittels der Variablen request. das Problem ist deshalb dasselbe wie im vorigen Kapitel: Dieverwendeten Eingabe-Daten wurden nicht überprüft. Die Gegenmassnahmen sehen gleich aus wie im vorigenKapitel. Eine zusätzliche Massnahme bezieht sich auf die Rechte des Kontos, mit dem auf den Datenbank-Serverzugegriffen wird. Ebenfalls wird beschrieben, wie man die Passwörter in der Datenbank geschützt, also nicht imKlartext, speichern kann.5.7.1 Prepared-Statements verwendenDas SQL-Statement in der Seite showmsg.jsp müsste bei Verwendung von Prepared-Statements folgendermassenaussehen:[...]SELECT * FROM messages WHERE messageid = ?29
5.7.2 Überprüfung der EingabewerteIm vorigen Kapitel wurde bereits ausführlich beschrieben, wie man die Argumente mit Hilfe der im Rahmendieser Semesterarbeit entwickelten Klassen auf Gültigkeit überprüfen kann. In diesem Kapitel wollen wir insbesonderedie Überprüfung einer Zahl erläutern.Die SQL-Abfrage enthält die messageid als Argument. Der Wert ist ganzzahlig. Wir müssen überprüfen,ob das Argument eine gültige Ganzzahl darstellt.Dafür können wir die Klasse IntegerVerifier verwenden:[...]import ch.ethz.infsec.dl.*;[...]String messageid = request.getParameter("messageid");// verify parameterIntegerVerifier messageidVerifier = new IntegerVerifier(messageid);if (!messageidVerifier.verify()) {return;}int id;try {id = messageidVerifier.intValue();}catch (VerifierException e) {return;}Der Konstruktor der Klasse IntegerVerifier erwartet als einziges Argument eine Zeichenkette, die die Zahldarstellt. Mit der Methode verify() kann überprüft werden, ob das Argument eine gültige Ganzzahl ist. Fallsdies der Fall ist, kann der gültige Wert als Basistyp int mittels der Methode intValue() angefordert werden.Da das Argument eine Zahl ist, kann es keine Anführungszeichen oder andere problematischen Zeichenenthalten. Die Klasse Escaper wird deshalb nicht benötigt.5.7.3 Verwendung von Beans für die Ausführung von SQL-StatementsWie im vorigen Kapitel sollten die SQL-Abfragen in Beans ausgelagert werden. Es gelten dieselben Begründungen.5.7.4 Zugriff auf den Datenbank-Server mit einem Konto, das ein Minimum vonRechten besitztDie Angriffe, bei denen schreibend auf die Datenbank zugegriffen oder Code auf dem Datenbank-Server ausgeführtwird (Stored-Procedures), sind besonders gefährlich. Es ist zwingend notwendig, dass das Konto, mitdem auf den Datenbank-Server zugegriffen wird, nur die notwendigen Rechte besitzt, um die SQL-Statements derApplikation auszuführen, aber keine zusätzlichen Rechte. Für jene Tabellen, auf die nicht schreibend zugegriffenwird, sollen nur SELECT-Statements zugelassen werden. Für Tabellen mit schreibenden Zugriffen sollten neben30
Seite 1 und 2: Verteidigung gegenSQL-Injection-Ang
Seite 3 und 4: AbstractSQL injections are a form o
Seite 5 und 6: VorwortDiese Semesterarbeit wurde v
Seite 7 und 8: eingebettet. Der Angreifer kann dad
Seite 9 und 10: Abbildung 2.1: Login-SeiteHat man n
Seite 11 und 12: Abbildung 2.5: Hauptseite mit Nachr
Seite 13 und 14: Abbildung 2.9: Hauptseite für Admi
Seite 15 und 16: Kapitel 3Beschreibung der Demo-Appl
Seite 17 und 18: CREATE TABLE messages (messageid IN
Seite 19 und 20: Das Feld für das Passwort kann dab
Seite 21 und 22: 4.5 GegenmassnahmenDas Problem bei
Seite 23 und 24: von Zeichenketten verwendet wird. S
Seite 25 und 26: nun der Quellcode der JSP-Seite an
Seite 27 und 28: Das Anführungszeichen am Schluss w
Seite 29 und 30: 5.4 Datenbank-Benutzer erstellenFal
Seite 31: SQL-Statement:SELECT * FROM message
Seite 35 und 36: Kapitel 6Ermittlung der Tabellenstr
Seite 37 und 38: Kapitel 7Zusammenfassung derGegenma
Seite 39 und 40: Anhang AInstallation der Demo-Appli
Seite 41 und 42: Um die Datenbank-Server zu starten,
Seite 43 und 44: • AJP-Connector ausschaltenDer Ab
Seite 45 und 46: Verwendung der Demo-ApplikationUm d

Verteidigung gegen SQL-Injection-Angriffe - ETH ZÃ¼rich

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?