पायथन पेनेट्रेशन टेस्टिंग - एसक्यूआई वेब अटैक
SQL इंजेक्शन SQL कमांड का एक सेट है जो एक URL स्ट्रिंग या डेटा स्ट्रक्चर्स में रखा जाता है ताकि हम उन डेटाबेस से प्रतिक्रिया प्राप्त कर सकें जो हम वेब एप्लिकेशन से जुड़े हैं। इस प्रकार का हमला आमतौर पर PHP या ASP.NET का उपयोग करके विकसित वेबपृष्ठों पर होता है।
एक SQL इंजेक्शन हमला निम्नलिखित इरादों के साथ किया जा सकता है -
डेटाबेस की सामग्री को संशोधित करने के लिए
डेटाबेस की सामग्री को संशोधित करने के लिए
विभिन्न प्रश्नों को करने के लिए जिन्हें आवेदन द्वारा अनुमति नहीं है
इस प्रकार का हमला तब काम करता है जब अनुप्रयोग SQL स्टेटमेंट में पास करने से पहले इनपुट को ठीक से मान्य नहीं करते हैं। इंजेक्शन आमतौर पर पता बार, खोज फ़ील्ड, या डेटा फ़ील्ड में लगाए जाते हैं।
यह पता लगाने का सबसे आसान तरीका है कि यदि कोई वेब एप्लिकेशन SQL इंजेक्शन के हमले के प्रति संवेदनशील है, तो स्ट्रिंग में "'" चरित्र का उपयोग करके देखें कि क्या आपको कोई त्रुटि मिलती है।
SQLi अटैक के प्रकार
इस खंड में, हम विभिन्न प्रकार के SQLi हमले के बारे में जानेंगे। हमले को निम्नलिखित दो प्रकारों में वर्गीकृत किया जा सकता है -
इन-बैंड SQL इंजेक्शन (सरल SQLi)
इंफ्रारेड एसक्यूएल इंजेक्शन (ब्लाइंड एससीआई)
इन-बैंड SQL इंजेक्शन (सरल SQLi)
यह सबसे आम एसक्यूएल इंजेक्शन है। इस तरह के एसक्यूएल इंजेक्शन मुख्य रूप से तब होता है जब एक हमलावर एक ही संचार चैनल का उपयोग करने के लिए दोनों को हमला करने और परिणामों को अलग करने में सक्षम होता है। इन-बैंड SQL इंजेक्शन को आगे दो प्रकारों में विभाजित किया जाता है -
Error-based SQL injection - डेटाबेस की संरचना के बारे में जानकारी प्राप्त करने के लिए एक त्रुटि-आधारित SQL इंजेक्शन तकनीक डेटाबेस सर्वर द्वारा फेंके गए त्रुटि संदेश पर निर्भर करती है।
Union-based SQL injection - यह एक अन्य इन-बैंड SQL इंजेक्शन तकनीक है जो दो या दो से अधिक SELECT स्टेटमेंट के परिणामों को एक ही परिणाम में संयोजित करने के लिए UNION SQL ऑपरेटर का लाभ उठाती है, जिसे बाद में HTTP प्रतिसाद के भाग के रूप में लौटाया जाता है।
इंफ्रारेड एसक्यूएल इंजेक्शन (ब्लाइंड एससीआई)
इस तरह के एसक्यूएल इंजेक्शन हमले में, हमलावर इन-बैंड के परिणाम को देखने में सक्षम नहीं होता है क्योंकि वेब एप्लिकेशन के माध्यम से कोई डेटा स्थानांतरित नहीं होता है। यही कारण है कि इसे ब्लाइंड SQLi भी कहा जाता है। इंफ़रेंशियल SQL इंजेक्शन दो प्रकार के होते हैं -
Boolean-based blind SQLi - इस तरह की तकनीक डेटाबेस में एक एसक्यूएल क्वेरी भेजने पर निर्भर करती है, जो एप्लिकेशन को एक अलग परिणाम वापस करने के लिए मजबूर करती है, इस आधार पर कि क्वेरी एक TRUE या FALSE परिणाम देती है।
Time-based blind SQLi- इस तरह की तकनीक डेटाबेस में SQL क्वेरी भेजने पर निर्भर करती है, जो प्रतिक्रिया देने से पहले डेटाबेस को निर्दिष्ट समय (सेकंड में) की प्रतीक्षा करने के लिए मजबूर करती है। प्रतिक्रिया समय हमलावर को इंगित करेगा कि क्या क्वेरी का परिणाम TRUE या FALSE है।
उदाहरण
आवेदन में इनपुट डेटा में हेरफेर करके सभी प्रकार की एसक्यूआई को लागू किया जा सकता है। निम्नलिखित उदाहरणों में, हम अनुप्रयोग पर हमला करने वाले वैक्टर को इंजेक्ट करने और हमले की संभावना को सत्यापित करने के लिए आउटपुट का विश्लेषण करने के लिए पायथन स्क्रिप्ट लिख रहे हैं। यहां, हम नाम के अजगर मॉड्यूल का उपयोग करने जा रहे हैंmechanize, जो एक वेब पेज में वेब फॉर्म प्राप्त करने की सुविधा देता है और इनपुट मानों को भी जमा करने की सुविधा प्रदान करता है। हमने क्लाइंट-साइड सत्यापन के लिए भी इस मॉड्यूल का उपयोग किया है।
निम्नलिखित पायथन लिपि रूपों को प्रस्तुत करने और प्रतिक्रिया का उपयोग करके विश्लेषण करने में मदद करती है mechanize -
सबसे पहले हमें आयात करने की आवश्यकता है mechanize मापांक।
import mechanize
अब, फ़ॉर्म सबमिट करने के बाद प्रतिक्रिया प्राप्त करने के लिए URL का नाम प्रदान करें।
url = input("Enter the full url")
कोड की निम्न पंक्ति url खोलेगी।
request = mechanize.Browser()
request.open(url)
अब, हमें फ़ॉर्म का चयन करने की आवश्यकता है।
request.select_form(nr = 0)
यहां, हम कॉलम नाम 'id' सेट करेंगे।
request["id"] = "1 OR 1 = 1"
अब, हमें फॉर्म जमा करना होगा।
response = request.submit()
content = response.read()
print content
उपरोक्त स्क्रिप्ट POST अनुरोध के लिए प्रतिक्रिया प्रिंट करेगी। हमने SQL क्वेरी को तोड़ने और एक पंक्ति के बजाय तालिका में सभी डेटा प्रिंट करने के लिए एक हमला वेक्टर प्रस्तुत किया है। सभी हमले वैक्टर एक पाठ फ़ाइल में सहेजे जाएंगे vectors.txt। अब, नीचे दी गई पायथन लिपि में उन अटैक वैक्टर को फ़ाइल से प्राप्त किया जाएगा और उन्हें एक-एक करके सर्वर पर भेजा जाएगा। यह आउटपुट को एक फाइल में भी सेव करेगा।
शुरू करने के लिए, आइए हम मैकेनाइज मॉड्यूल को आयात करें।
import mechanize
अब, फ़ॉर्म सबमिट करने के बाद प्रतिक्रिया प्राप्त करने के लिए URL का नाम प्रदान करें।
url = input("Enter the full url")
attack_no = 1
हमें फ़ाइल से आक्रमण वैक्टर को पढ़ने की आवश्यकता है।
With open (‘vectors.txt’) as v:
अब हम प्रत्येक क्रैक वेक्टर के साथ अनुरोध भेजेंगे
For line in v:
browser.open(url)
browser.select_form(nr = 0)
browser[“id”] = line
res = browser.submit()
content = res.read()
अब, कोड की निम्नलिखित पंक्ति आउटपुट फाइल पर प्रतिक्रिया लिख देगी।
output = open(‘response/’ + str(attack_no) + ’.txt’, ’w’)
output.write(content)
output.close()
print attack_no
attack_no += 1
प्रतिक्रियाओं की जाँच और विश्लेषण करके, हम संभावित हमलों की पहचान कर सकते हैं। उदाहरण के लिए, यदि यह प्रतिक्रिया प्रदान करता है जिसमें वाक्य शामिल हैYou have an error in your SQL syntax तो इसका मतलब है कि प्रपत्र SQL इंजेक्शन से प्रभावित हो सकता है।