การแฮ็กอย่างมีจริยธรรม - การแทรก SQL

SQL injection คือชุดของคำสั่ง SQL ที่อยู่ในสตริง URL หรือในโครงสร้างข้อมูลเพื่อดึงการตอบสนองที่เราต้องการจากฐานข้อมูลที่เชื่อมต่อกับเว็บแอ็พพลิเคชัน การโจมตีประเภทนี้โดยทั่วไปจะเกิดขึ้นบนหน้าเว็บที่พัฒนาโดยใช้ PHP หรือ ASP.NET

การโจมตีด้วยการฉีด SQL สามารถทำได้ด้วยความตั้งใจดังต่อไปนี้ -

  • ในการถ่ายโอนฐานข้อมูลทั้งหมดของระบบ

  • เพื่อแก้ไขเนื้อหาของฐานข้อมูลหรือ

  • เพื่อดำเนินการค้นหาต่าง ๆ ที่แอปพลิเคชันไม่อนุญาต

การโจมตีประเภทนี้จะทำงานเมื่อแอปพลิเคชันตรวจสอบอินพุตไม่ถูกต้องก่อนที่จะส่งต่อไปยังคำสั่ง SQL โดยปกติการแทรกจะวางไว้ในแถบที่อยู่ช่องค้นหาหรือช่องข้อมูล

วิธีที่ง่ายที่สุดในการตรวจสอบว่าเว็บแอปพลิเคชันเสี่ยงต่อการโจมตีด้วยการแทรก SQL หรือไม่คือการใช้อักขระ "" "ในสตริงและดูว่าคุณได้รับข้อผิดพลาดหรือไม่

ตัวอย่าง 1

มาลองทำความเข้าใจแนวคิดนี้โดยใช้ตัวอย่างเล็กน้อย ดังที่แสดงในภาพหน้าจอต่อไปนี้เราได้ใช้อักขระ "" "ในฟิลด์ชื่อ

ตอนนี้คลิกไฟล์ Loginปุ่ม. ควรให้ผลลัพธ์ดังต่อไปนี้ -

หมายความว่าช่อง“ ชื่อ” เสี่ยงต่อการแทรก SQL

ตัวอย่าง 2

เรามี URL นี้ - http://10.10.10.101/mutillidae/index.php?page=site-footer-xssdiscussion.php

และเราต้องการทดสอบตัวแปร“ page” แต่สังเกตว่าเราใส่อักขระ "" "ในสตริง URL อย่างไร

เมื่อเรากด Enter จะให้ผลลัพธ์ตามมาซึ่งมีข้อผิดพลาด

SQLMAP

SQLMAP เป็นหนึ่งในเครื่องมือที่ดีที่สุดในการตรวจจับการแทรก SQL สามารถดาวน์โหลดได้จากhttp://sqlmap.org/

รวบรวมไว้ล่วงหน้าในการแจกแจงกาลี คุณสามารถค้นหาได้ที่ - Applications → Database Assessment → Sqlmap

หลังจากเปิด SQLMAP เราไปที่หน้าที่เรามีการฉีด SQL จากนั้นรับคำขอส่วนหัว จากส่วนหัวเราเรียกใช้คำสั่งต่อไปนี้ใน SQL -

./sqlmap.py --headers="User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:25.0) 
Gecko/20100101 Firefox/25.0" --cookie="security=low;
PHPSESSID=oikbs8qcic2omf5gnd09kihsm7" -u '
http://localhost/dvwa/vulnerabilities/sqli_blind/?id=1&Submit=Submit#' -
level=5 risk=3 -p id --suffix="-BR" -v3

SQLMAP จะทดสอบตัวแปรทั้งหมดและผลลัพธ์จะแสดงว่าพารามิเตอร์“ id” มีช่องโหว่ดังที่แสดงในภาพหน้าจอต่อไปนี้

SQLNinja

SQLNinja เป็นเครื่องมือฉีด SQL อีกตัวที่มีอยู่ในการแจกแจงแบบกาลี

การฉีด JSQL

JSQL Injection อยู่ใน Java และทำให้การแทรก SQL อัตโนมัติ

เคล็ดลับด่วน

เพื่อป้องกันเว็บแอปพลิเคชันของคุณจากการโจมตีด้วยการแทรก SQL คุณควรคำนึงถึงประเด็นต่อไปนี้ -

  • ไม่ควรอนุญาตให้ผู้ใช้ป้อนข้อมูลไปยังฐานข้อมูลที่ไม่ได้ตรวจสอบผ่าน GUI ของแอปพลิเคชัน

  • ทุกตัวแปรที่ผ่านเข้าสู่แอปพลิเคชันควรได้รับการทำความสะอาดและตรวจสอบความถูกต้อง

  • อินพุตของผู้ใช้ที่ถูกส่งไปยังฐานข้อมูลควรถูกยกมา