TRƯỜNG ĐẠI HỌC NGÂN HÀNG THÀNH PHỐ HỒ CHÍ MINH KHOA HỆ THỐNG THƠNG TIN QUẢN LÝ TÌM HIỂU VỀ SQL INJECTION – CHÈN MÃ SQL Lớp: ITS307_212_D03 Giảng viên hướng dẫn: Đặng Hồng Huy NHĨM 5: Danh sách thành viên nhóm Tên thành viên Nguyễn Văn Tân Nguyễn Sinh Tài MSSV 03023620 0135 Trần Quỳnh Thảo Nguyễn Trọng Thảo 03023620 0154 Lê Thị Thu Thảo TP Hồ Chí Minh – 2021 0 GIỚI THIỆU I Lý thuyết SQL Injection SQL Injection gì? SQL injection – gọi SQLi – SQL injection kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị sở liệu trả để inject (tiêm vào) thi hành câu lệnh SQL bất hợp pháp SQL injection cho phép kẻ công thực thao tác, delete, insert, update, v.v sở liệu ứng dụng, chí server mà ứng dụng chạy SQL injection thường biết đến vật trung gian công ứng dụng web có liệu quản lý hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sybase… SQL Injection chủ yếu biết đến vector công dành cho trang web Nhưng dùng để cơng loại sở liệu SQL Các công SQL Injection cho phép hacker giả mạo danh tính, xáo trộn liệu Hay gây vấn đề làm hiệu lực giao dịch, thay đổi số dư, tiết lộ hay phá hủy liệu hệ thống Thậm chí làm liệu khơng khả dụng trở thành admin server sở liệu Các công SQL Injection thực cách gửi lệnh SQL độc hại đến máy chủ sở liệu thông qua yêu cầu người dùng mà website cho phép Bất kỳ kênh input sử dụng để gửi lệnh độc hại, bao gồm thẻ, chuỗi truy vấn (query strings), cookie tệp tin Tuy nhiên ngày thường làm việc framework đại Các framework test cẩn thận để phịng tránh lỗi, có SQL Injection Hậu SQL Injection  Làm lộ liệu database Tuỳ vào tầm quan trọng liệu mà hậu dao động mức nhẹ vô nghiêm trọng  Lộ liệu khách hàng ảnh hưởng nghiêm trọng đến cơng ty Hình ảnh cơng ty bị ảnh hưởng, khách hàng chuyển qua sử dụng dịch vụ khác, dẫn đến phá sản v…v 0 Hack tài khoản cá nhân Ăn cắp chép liệu trang web hệ thống Thay đổi liệu nhạy cảm hệ thống Xóa liệu nhạy cảm quan trọng hệ thống Người dùng đăng nhập vào ứng dụng với tư cách người dùng khác, với tư cách quản trị viên  Người dùng xem thơng tin cá nhân thuộc người dùng khác, ví dụ chi tiết hồ sơ người dùng khác, chi tiết giao dịch họ, …  Người dùng sửa đổi cấu trúc sở liệu, chí xóa bảng sở liệu ứng dụng  Người dùng kiểm sốt máy chủ sở liệu thực thi lệnh theo ý muốn      II Q trình cơng SQL Injection Tìm kiếm mục tiêu Có thể tìm trang web cho phép submit trình tìm kiếm mạng, chảng hạn trang login, search, feedback,… Ví dụ: Một số trang web chuyển tham số qua field ẩn, phải xem mã HTML thấy rõ Ví dụ dưới: Kiểm tra chỗ yếu trang web Thử submit field username, password field id,… Bằng hi’ or 1=1- 0 Nếu site chuyển tham số qua field ẩn, download source HTML, lưu đĩa cứng thay đổi URL cho phù hợp Ví dụ: Nếu thành cơng, login vào mà khơng cần phải biết username password Tại “ ‘ or 1=1- ” vượt qua phần kiếm tra đăng nhập Giả sử có trang ASP liên kết đến ASP trang khác với URL sau: Trong URL trên, biến ‘category’ gán giá trị ‘food’ Mã ASP trang sau (đây ví dụ thơi): ‘v_cat’ chứa giá trị biến request(“category”) ‘food’ câu lệnh SQL là: Dòng query trả tập resulset chứa nhiều dòng phù hợp với điều kiện WHERE Pcategory=‘food’ Nếu thay đổi URL thành http://yoursite.com/index.asp?category=food’ or 1=1-, biến ‘v_cat’ chứa giá trị “food’ or 1=1-” dòng lệnh SQL query là: 0 Dòng query select thứ bảng product bất chấp giá trị trường Pcategory có ‘food’ hay không Hai dấu gạch ngang (-) cho MS SQL sever biết hết dòng query, thứ lại sau “-” bị bỏ qua Đối với MySQL, thay “-” thành “#” Ngồi ra, thử cách khác cách submit or ‘a’=‘a’ Dòng SQL query là: Một số loại liệu khác mà nên thử submit để biết xem trang web có gặp lỗi hay khơng: Thi hành lệnh từ xa SQL Injection Nếu cài đặt với chế độ mặc định mà khơng có điều chỉnh gì, MS SQL Server chạy mức SYSTEM, tương đương với mức truy cập Administrator Windows Có thể dùng store procedure xp_cmdshell CSDL master để thi hành lệnh từ xa: Hãy thử dùng dấu nháy đôi (“) dấu nháy đơn (‘) không làm việc 0 Dấu chấm phẩy (sẽ kết thúc dòng SQL query cho phép thi hành SQL command Để kiểm tra xem lệnh có thi hành hay khơng, listen ICMP packet từ 10.10.1.2 tcpdump sau: Nếu nhận ping request từ 10.10.1.2 nghĩa lệnh thi hành Nhận output SQL Query Có thể dùng sp_makewebtask để ghi output SQL query file HTML Chú ý: folder “share” phải share cho Everyone trước III Các yếu tố mơ hình PESTEL đem lại hội thách thức cho doanh nghiệp TGDĐ Yếu tố trị (Political): Cơ hội : Có sở để nghiên cứu thị trường để giới di động mở thêm chi nhánh dựa vào ổn định trị yếu tố pháp luật : luật phân biệt đối xử, luật liên quan tới người tiêu dùng, luật chống độc quyền, luật lao động, y tế pháp luật an tồn Những yếu tố giúp cho TGDĐ điều chỉnh hoạt động doanh nghiệp, điều chỉnh chi phí sản xuất điều chỉnh nhu cầu sản phẩm dịch vụ doanh nghiệp để phù hợp với thị trường Thách thức : Chính sách thuế xuất khẩu, nhập khẩu, thuế tiêu thụ, thuế thu nhập ảnh hưởng đến giá sản phẩm làm giá sản phẩm cao lên khó phù hợp với số khách hàng tiêu dùng Luật thuế chưa ổn định, hàng rào thuế quan lớn, thuế cao làm cho giá tăng cao so với quốc gia khác – làm cho khách hàng phải cân nhắc mua sản phẩm 0 Yếu tố kinh tế (Economic): Cơ hội : Dựa vào Tốc độ tăng trưởng, mức gia tăng GDP người dân mà doanh nghiệp TGDĐ bán sản phẩm cao cấp với giá cao nhằm đáp ứng nhu cầu khách hàng từ nâng cao doanh thu Thách thức : Lãi suất: lãi suất ngày tăng cao nên khách hàng sử dụng có nhu cầu tiết kiệm thay tiêu dùng vào sản phẩm TGDĐ Hạn chế nhân tố kinh tế doanh nghiệp Việt Nam mở kinh tế thị trường (gia nhập WTO) tạo nên nhiều đối thủ cạnh tranh - nhiều tập đoàn bán lẻ hùng mạnh giới khu vực nhập thị trường Việt Nam Tốc độ tăng trưởng kinh tế thấp, tỷ lệ lạm phát cao làm hạn chế phát triển doanh nghiệp Giá hàng hóa tăng vọt, đời sống dân cư gặp nhiều khó khăn, ảnh hưởng tới tâm lý tiêu dùng khách hàng, sức mua thị trường giảm sút Yếu tố xã hội (Social) : Cơ hội : Dân số Việt Nam ngày trẻ hóa đời sống người cải thiện làm cho xã hội có tính thời thượng, nhanh chóng người trẻ sản phẩm cơng nghệ giới di động tiêu thụ tốt Tốc độ thị hóa ngày nhanh theo tiên tiến công nghệ Do đó, sản phẩm cơng nghệ giới di động nguồn doanh thu dồi cho doanh nghiệp Thách thức: Đối với Việt Nam quốc gia có văn hóa đa dạng, lứa tuổi khác lại có tiếp cận với văn hóa khác nhau, nên điều bất lợi việc hoạch định chiến lược, đa dạng văn hóa Việt Nam địi hỏi người lãnh đạo phải thật linh hoạt cung cách định tiếp cận thị trường Yếu tố công nghệ (Technology) 0 Cơ hội : Công nghệ ngày phát triển nên nhiều sản phẩm tiên tiến sản xuất nhằm đáp ứng nhu cầu khách hàng Họ có hứng thú mua nhiều sản phẩm tiên tiến sản phẩm trước Công nghệ phát triển đồng thời làm cho kênh phân phối trực tuyến phát triền nên dễ mở rộng tệp khách hàng qua tiếp cận nhiều khách hàng Thách thức: Sự phát triển chóng mặt cơng nghệ thách thức lớn doanh nghiệp, chậm trễ việc cập nhật tình hình phát triển cơng nghệ ngun nhân trọng sụp đổ nhiều cơng ty hoạt động lĩnh vực với Thế Giới Di Động, Thế Giới Di Động phải nhạy cảm, nhanh chóng vấn đề nắm bắt xu công nghệ, vấn đề thật tốn khó khăn chìa khóa thành cơng để công ty hoạt động lĩnh vực công nghệ Thế Giới Di Động phát triển Yếu tố pháp luật (Legal) Cơ hội : Các luật pháp đề nhà nước giúp TGDĐ chuẩn hóa máy vận hành họ luật an toàn lao động, luật thuế, hay luật tiêu dùng giúp TGDĐ có sách phù hợp với doanh nghiệp Yếu tố Mơi trường (Environment) : Vì doanh nghiệp bán lẻ cơng nghệ nên yếu tố môi trường không ảnh hưởng đến doanh nghiệp TGDĐ bảo vệ môi trường trách nhiệm mà doanh nghiệp điều phải nghiêm chỉnh chấp hành IV Các yếu tố mô hình áp lực đem lại hội thách thức cho doanh nghiệp TGDĐ Áp lực từ đối thủ cạnh tranh Cơ hội: 0 Có đối thủ cạnh tranh TGDĐ cố gắng hồn thiện để khơng bị đào thải Sau phân tích đối thủ cạnh tranh biết điểm mạnh điểm yếu đối thủ hội để tận đụng tạo dịch vụ, thương hiệu để đánh vào phần khúc để tránh cạnh tranh trực tiếp Có hội học tập kinh nghiệm từ mục tiêu, chiến lược cách làm đối thủ qua thời kỳ, từ rút học cho TGDĐ tránh khỏi rủi ro Thách thức: Thị trường cạnh tranh khắc nghiệt Bão hoà ngành Áp lực từ người mua Cơ hội: Cơ hội thu hút khách hàng lợi ích dịch vụ mà TGDĐ đem lại, từ tạo lượng khách trung thành tăng suất lợi nhuận Thách thức: Trong tình hình cạnh tranh gay gắt nay, khách hàng có đa dạng lựa chọn giá dịch vụ Do đó, thách thức thực TGDĐ giữ chân người tiêu dùng hoạt động kinh doanh công ty nỗ lực hình thành nhóm tiêu dùng, nghĩa người tiêu dùng có ảnh hưởng đến số người khác để mua sản phẩm công ty Áp lực từ nhà cung cấp Cơ hội: Hợp tác với nhà cung cấp nước tiếng lĩnh vực từ có nguồn hàng giá tốt để phục vụ cho nhu cầu khách hàng Kí hợp đồng độc quyền với doanh nghiệp, tập đồn lớn cơng nghệ APPLE hay SAMSUNG để có sản phẩm cơng nghệ độc quyền làm hài lòng khách hàng Thách thức: 0 TGDD tính tốn kĩ lưỡng nhà cung cấp, tìm nhà cung cấp thực phù hợp, phải giữ chân nhà cung cấp lâu dài Áp lực từ đối thủ tiềm ẩn Cơ hội: Nhìn nhận rào cản gia nhập ngành TGDĐ Rào cản gia nhập đối thủ rào cản TGDĐ trả qua Điều kịp thời nhìn nhận lại TGDĐ có phát triển chậm lại hay khơng Thách thức: Thêm đối thủ thêm áp lực với TGDĐ TGDĐ cần phải hoạt động hiệu hơn, phát triển thêm nhiều tính năng, tiện ích mới, đáp ứng cao nhu cầu khách hàng TGDĐ cần phân tích đối thủ cạnh tranh tiềm ẩn để kịp thời cải tiến sản phẩm, dịch vụ TGDĐ Áp lực từ sản phẩm thay Cơ hội: Thay cải tiến dịch vụ, TGDĐ trọng dịch vụ nhiều, trước TGDĐ ln doanh nghiệp có dịch vụ tốt Có nhiều sản phẩm dịch vụ cho khách hàng lựa chọn từ khách hàng ưa thích lựa chọn TGDĐ Thách thức: Nếu TGDĐ không ý đến sản phẩm dịch vụ thay tiềm ẩn TGDĐ bị tụt lại khó quay lại Phân khúc sản phẩm thay theo mức giá, nhóm sản phẩm, nhóm người dùng 10 0 11 0 ...GIỚI THIỆU I Lý thuyết SQL Injection SQL Injection gì? SQL injection – cịn gọi SQLi – SQL injection kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm... hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sybase… SQL Injection chủ yếu biết đến vector công dành cho trang web Nhưng dùng để công loại sở liệu SQL Các công SQL Injection cho phép hacker... (tiêm vào) thi hành câu lệnh SQL bất hợp pháp SQL injection cho phép kẻ cơng thực thao tác, delete, insert, update, v.v sở liệu ứng dụng, chí server mà ứng dụng chạy SQL injection thường biết đến