этом - Xakep Online

73ÊÀÊÈÅ ÑÏÎÑÎÁÛ ÁÎÐÜÁÛ Ñ SQLINJECTION ÍÀÈÁÎËÅÅ ÝÔÔÅÊÒÈÂÍÛ?XSS — ÐÅÀËÜÍÀß ÓÃÐÎÇÀ ÈËÈ ÑËÀÁÎÅÌÅÑÒÎ ÏÎÔÈÃÈÑÒÎÂ?ÂÀËÅÐÈß ÊÎÌÈÑÑÀÐÎÂÀ: Ñóùåñòâóåò íåñêîëüêî ìåòîäîâ áîðüáûñ SQL-èíúåêöèÿìè: èñïîëüçîâàíèå ðàçëè÷íûõ ôóíêöèé (êàê âñòðîåííûõ ñèñòåìíûõ/ÿçûêàïðîãðàììèðîâàíèÿ, òàê è ñîçäàííûõ ïðîãðàììèñòîì) äëÿýêðàíèðîâàíèÿ ðàçëè÷íûõ «íåäîáðîêà÷åñòâåííûõ» ñèìâîëîâ â çàïðîñå; èñïîëüçîâàíèåìåòîäà ïåðåáîðà, êîòîðûé ïîçâîëÿåò êðîìå ñèìâîëîâ óäàëÿòü èðàçíûå óïðàâëÿþùèå ñëîâà è ïîñëåäîâàòåëüíîñòè; èñïîëüçîâàíèå ñïåöèàëüíûõôóíêöèîíàëüíûõ «îáåðòîê», áåðóùèõ íà ñåáÿ âñþ «ãðÿçíóþ» ðàáîòó; èñïîëüçîâàíèåòèïèçèðîâàííûõ ïàðàìåòðîâ.ÇÀÐÀÇÀ: Îñíîâíûå ìåòîäû áîðüáû ïðèìåðíî ñëåäóþùèå: èçáåãàòü èñïîëüçîâàíèÿsql-çàïðîñîâ, èñïîëüçîâàòü âìåñòî íèõ õðàíèìûå ïðîöåäóðû è ïðåäñòàâëåíèÿ;êîíòðîëèðîâàòü ëþáîé çàïðîñ ïîëüçîâàòåëÿ íà óðîâíå ïðîöåäóðïîëó÷åíèÿ äàííûõ (íàïðèìåð, ïðîöåäóðà ïîëó÷åíèÿ ïåðåìåííîé èç query_string);cîçäàâàòü ðîëè â áàçå äàííûõ, íàäåëåííûå ìèíèìàëüíûì íàáîðîìïîëíîìî÷èé, ÷òîáû äàæå èìåÿ ïîëíûé äîñòóï ê áàçå äàííûõ, ïîëüçîâàòåëüíå ìîã ïðîèçâåñòè «âðåäíûõ» äåéñòâèé; ìîæíî íàçâàòü åùå è ñðåäñòâàôèëüòðàöèè çàïðîñîâ, ôàéðâîëû íà óðîâíå ïðèëîæåíèé (áàç äàííûõ), íî âñåýòî — «íåïðàâèëüíûå» ñðåäñòâà.ÌÈÕÀÈË ÔËÅÍÎÂ: Ïðîâåðêà âñåõ ïàðàìåòðîâ, ÷åòêîå ðàçäåëåíèå ïðàâ äîñòóïàè, æåëàòåëüíî, íåñêîëüêî óðîâíåé çàùèòû (íàïðèìåð, ìîäóëè áåçîïàñíîñòè).Äîëæíî áûòü ðàçðåøåíî òîëüêî òî, ÷òî íåîáõîäèìî, à âñå îñòàëüíîåíóæíî çàïðåùàòü. Íàïðèìåð, åñëè ïîëüçîâàòåëü íå äîëæåí âèäåòü îïðåäåëåííûåòàáëèöû â áàçå äàííûõ, òî ó÷åòíàÿ çàïèñü, ïîä êîòîðîé âûïîëíÿþòñÿçàïðîñû äàííîãî ïîëüçîâàòåëÿ, íå äîëæíà èìåòü ïðàâ íà ýòè òàáëèöû. Îäíóåäèíñòâåííóþ çàùèòó îáîéòè äîñòàòî÷íî ïðîñòî, à åñëè èñïîëüçóåòñÿ ñðàçóíåñêîëüêî ìåòîäîâ, òî ñðàáîòàåò äðóãîé óðîâåíü áåçîïàñíîñòè.ÊÐÈÑ ÊÀÑÏÅÐÑÊÈ: Ðàçãðàíè÷åíèå äîñòóïà ê äàííûì íà óðîâíå SQL-ñåðâåðà.Íî ïðîáëåìà çäåñü â òîì, ÷òî ñ òî÷êè çðåíèÿ SQL-ñåðâåðà, îáðàáàòûâàþùåãîçàïðîñû web-ñåðâåðà, ïîä êîòîðûì «âðàùàåòñÿ» ñàéò, íàïèñàííûé íàPHP èëè Perl'å, âñå çàïðîñû ðàâíîçíà÷íû, ïîñêîëüêó àâòîðèçàöèÿ ïîëüçîâàòåëåé(äàæå åñëè îíà è ïðåäóñìîòðåíà), êàê ïðàâèëî, îñóùåñòâëÿåòñÿ íàPHP. Ïðîñòî â SQL-áàçå õðàíÿòñÿ ïîëüçîâàòåëè ñ ïàðîëÿìè, ïðîâåðÿåìûìèPHP-ñêðèïòîì, à äëÿ SQL åñòü òîëüêî îäèí ïîëüçîâàòåëü — ñàì PHP-ñêðèïò.Ïðè÷åì PHP — íå ñàìûé áåçîïàñíûé ÿçûê ïðîãðàììèðîâàíèÿ (êàê, âïðî÷åì,è Perl). Îí äîïóñêàåò èíòåðïîëÿöèþ ñòðîê è âîîáùå ëþáèò ðàçâîäèòü ñàìîäåÿòåëüíîñòü.Íà Ñè íàïèñàòü áåçîïàñíûé ñàéò íàìíîãî ïðîùå, íî òóò óæåâîçíèêàþò ïðîáëåìû èíîãî ðîäà: ïåðåíîñèìîñòü, ïåðåïîëíåíèå áóôåðîâ(ôóíäàìåíòàëüíàÿ ïðîáëåìà Ñè) è ò.ï. Òàê ÷òî îñòàåòñÿ íàíèìàòü ãðàìîòíûõïðîãðàììèñòîâ, èìåþùèõ ðåàëüíûé îïûò, è äàâàòü èì ðåàëüíûå ñðîêè äëÿâûïîëíåíèÿ çàêàçà, ïîñêîëüêó ïîäàâëÿþùåå áîëüøèíñòâî îøèáîê ñîâåðøàåòñÿèç-çà íåâíèìàòåëüíîñòè, èçëèøíåé ñóåòëèâîñòè è íåðâîçíîñòè, âûçâàííîéíàâèñàþùèì äåäëàéíîì.ÀËÅÊÑÀÍÄÐ ÀÍÒÈÏÎÂ: Çàùèòà! Êàê íà óðîâíå êîäà, òàê è íà óðîâíå ñåðâåðà.Ê ñîæàëåíèþ, ñïîñîáîâ ýêñïëóàòàöèè SQL-èíúåêöèè — îãðîìíîå ìíîæåñòâîè îøèáàþòñÿ äàæå îïûòíûå ïðîãðàììèñòû. Ïîýòîìó âñåãäà íåîáõîäèìîèñïîëüçîâàòü äîïîëíèòåëüíûå ñðåäñòâà çàùèòû íà ñåðâåðå — ìèíèìèçàöèÿïðèâèëåãèé, web-IDS-ñèñòåìû (òèïà mod_security èëè secureIIS).ÂÀËÅÐÈß ÊÎÌÈÑÑÀÐÎÂÀ: Íà ìîé âçãëÿä, ïðîáëåìà XSS äîñòàòî÷íîñåðüåçíà è ðàñïðîñòðàíåíà, ÷òîáû íå ïðèíèìàòü åå âî âíèìàíèå. È ìàñøòàáûýòîé «ýïèäåìèè» çàñòàâëÿþò ãîâîðèòü îá XSS êàê î çíà÷èòåëüíîé óãðîçå, à íåêàê îá î÷åðåäíîé PR-ïðèäóìêå.ÇÀÐÀÇÀ: Îäíà èç ìîèõ ïåðâûõ ñòàòåé, ïîñâÿùåííûõ ïðîáëåìàì áåçîïàñíîñòè,íàçûâàëàñü «Åùå ðàç î âçëîìàõ HTML-÷àòîâ» (www.security.nnov.ru/articles/3APA3Ahtml.asp).Áûëà íàïèñàíà, åñëè íå îøèáàþñü, â 1998 ãîäó è ñîäåðæàëàðåàëüíûå ïðèìåðû ìåæñàéòîâîãî ñêðèïòèíãà. Òåðìèíà òàêîãî â òî âðåìÿåùå íå ñóùåñòâîâàëî, è âîîáùå, ýòà ïðîáëåìà äîñòàòî÷íî äîëãî íå ñ÷èòàëàñüïðîáëåìîé áåçîïàñíîñòè. ß ïîìíþ ïðîäîëæèòåëüíûé äèàëîã ñ AlephOne (îñíîâàòåëü è ïåðâûé ìîäåðàòîð Bugtraq) íà ýòó òåìó, íî óáåäèòü åãî âðåàëüíîñòè óãðîçû ìíå òîãäà òàê è íå óäàëîñü. Òîëüêî â 2001 ãîäó îøèáêèCSS/XSS íà÷àëè âîñïðèíèìàòüñÿ êàê ïðîáëåìû áåçîïàñíîñòè, è ïîÿâèëñÿñàì òåðìèí «Cross-Site Scripting».ÇÀÐÀÇÀÐóêîâîäèòåëü ñëóæáûïîääåðæêèïîëüçîâàòåëåé äîâîëüíîêðóïíîãî ISP. Õîááè —ðàçðàáîòêà ïðîãðàììíîãîîáåñïå÷åíèÿ, â ÷àñòíîñòè,ïðîåêò 3proxy (www.security.nnov.ru/soft/3proxy/)