TÌM HIỂU TẤN CÔNG SQL INJECTION TRONG ORACLE

MỤC LỤC LỜI NÓI ĐẦU 4 Chương I: Giới thiệu về SQL Injecton 5 1.1. SQL Injection là gì? 5 1.2. Mục đích của tấn công SQL Injection. 5 1.3. Các dạng tấn công SQL Injection. 6 1.3.1. Dạng tấn công vượt qua kiểm tra đăng nhập. 6 1.3.2. Dạng tấn công sử dụng câu lệnh SELECT. 7 1.3.3. Dạng tấn công sử dụng câu lệnh INSERT. 10 1.3.4. Dạng tấn công sử dụng stored – procedures. 12 Chương II: Kỹ thuật tấn công SQL Injection và cách phòng chống. 13 2.1. Kỹ thuật tấn công SQL Injection. 13 2.1.1. Tìm kiếm mục tiêu. 13 2.1.2. Kiểm tra chỗ yếu của trang web. 13 2.1.3. Nhận dữ liệu qua “database using ODBC error message”. 15 2.1.4. Thu thập các dữ liệu quan trọng. 15 2.1.5. Xử lý kết quả tìm được. 15 2.2. Cách phòng chống tấn công SQL Injection. 15 Chương III: Demo tấn công SQL Injection 17 3.1. Công cụ tấn công. 17 3.2. Mục tiêu. 17 KẾT LUẬN 18 TÀI LIỆU THAM KHẢO 19   DANH MỤC HÌNH ẢNH Hình 1. Form đăng nhập………………………………………………………. Hình 2. Trang web có nguy cơ bị tấn công ……………………………………. Hình 3: Trang web bị lỗi sau khi thực hiện câu lệnh …………………………. Hình 4: Mẫu đăng ký tài khoản ……………………………………………….. Hình 5: Trang web trước khi chèn ký tự vào cuối URL ……………………….. Hình 6: Trang web sau khi chèn ký tự vào cuối URL …………………………. 6 8 10 11 14 14   LỜI NÓI ĐẦU Ngày nay, với sự phát triển mạnh mẽ của internet và công nghệ thông tin, ngày càng xuất hiện nhiều những loại tấn công vào cơ sở dữ liệu của chúng ta. Một trong những hình thức tấn công phổ biến và dễ dàng nhất là tấn công SQL Injection. Với mục đích tìm hiểu về cách tấn công, tác hại, các kỹ thuật tấn công của SQL Injection, nhóm em đã chọn đề tài: tìm hiểu về tấn công SQL Injection trên Oracle 10g (hoặc 11g) để có thể tìm hiểu và đưa ra các biện pháp phòng chống loại tấn công nguy hiểm này.  

KHOA AN TOÀN THÔNG TIN



ĐỀ TÀI TÌM HIỂU TẤN CÔNG SQL INJECTION TRONG ORACLE

Sinh viên thực hiện : Lớp : AT8B

Hà Nội, tháng 3 năm 2015

MỤC LỤC LỜI NÓI ĐẦU 4

Chương I: Giới thiệu về SQL Injecton 5

1.1 SQL Injection là gì? 5

1.2 Mục đích của tấn công SQL Injection 5

1.3 Các dạng tấn công SQL Injection 6

1.3.1 Dạng tấn công vượt qua kiểm tra đăng nhập 6

1.3.2 Dạng tấn công sử dụng câu lệnh SELECT 7

1.3.3 Dạng tấn công sử dụng câu lệnh INSERT 10

1.3.4 Dạng tấn công sử dụng stored – procedures 12

Chương II: Kỹ thuật tấn công SQL Injection và cách phòng chống 13

2.1 Kỹ thuật tấn công SQL Injection 13

2.1.1 Tìm kiếm mục tiêu 13

2.1.2 Kiểm tra chỗ yếu của trang web 13

2.1.3 Nhận dữ liệu qua “database using ODBC error message” 15

2.1.4 Thu thập các dữ liệu quan trọng 15

2.1.5 Xử lý kết quả tìm được 15

2.2 Cách phòng chống tấn công SQL Injection 15

Chương III: Demo tấn công SQL Injection 17

3.1 Công cụ tấn công 17

3.2 Mục tiêu 17

KẾT LUẬN 18

TÀI LIỆU THAM KHẢO 19

DANH MỤC HÌNH ẢNH

Hình 1 Form đăng nhập……….

Hình 2 Trang web có nguy cơ bị tấn công ……….

Hình 3: Trang web bị lỗi sau khi thực hiện câu lệnh ……….

Hình 4: Mẫu đăng ký tài khoản ………

Hình 5: Trang web trước khi chèn ký tự vào cuối URL ………

Hình 6: Trang web sau khi chèn ký tự vào cuối URL ……….

6 8 10 11 14 14

LỜI NÓI ĐẦU

Ngày nay, với sự phát triển mạnh mẽ của internet và công nghệ thông tin, ngày càng xuất hiện nhiều những loại tấn công vào cơ sở dữ liệu của chúng ta Một trong những hình thức tấn công phổ biến và dễ dàng nhất là tấn công SQL Injection

Với mục đích tìm hiểu về cách tấn công, tác hại, các kỹ thuật tấn công của SQL Injection, nhóm em đã chọn đề tài: tìm hiểu về tấn công SQL Injection trên Oracle 10g (hoặc 11g) để có thể tìm hiểu và đưa ra các biện pháp phòng chống loại tấn công nguy hiểm này

Chương I: Giới thiệu về SQL Injecton 1.1 SQL Injection là gì?

SQL Injection (còn gọi là SQL Insertion) là một hình thức tấn công trong đó truy vấn SQL của ứng dụng đã bị chèn thêm các tham số đầu vào không an toàn do người dùng nhập vào, từ đó mã lệnh được gửi tới máy chủ chứa cơ sở dữ liệu để phân tích cú pháp và thực thi

Hình thái chính của SQL Injection bao gồm việc chèm trực tiếp mã vào các tham số mà sẽ được ghép vào các câu lệnh SQL (quá trình này gọi là sinh truy vấn SQL động) để tạo thành truy vấn của ứng dụng gửi tới máy chủ cơ sở dữ liệu Một cách tấn công khác ít trực tiếp hơn, đó là chèn mã độc vào các xâu mà đích đến là việc lưu trữ trong các bảng hoặc từ điển dữ liệu (metadata) Khi các chuỗi đó được ghép vào các câu lệnh SQL thì đoạn mã đó sẽ được chạy

Khi ứng dụng web thất bại trong việc đọc tham số đầu vào (được dùng làm nguyên liệu trong quá trình sinh SQL động), ngay cả khi dùng hình thức tham số hóa thì kẻ tấn công có thể dễ dàng điều chỉnh quá trình xây dựng truy vấn SQL Một khi kẻ tấn công có thể sửa câu truy vấn SQL thì những truy vấn SQL anh ta muốn sẽ được thực thi với quyền của người sở hữu ứng dụng, và thiệt hại anh ta có thể gây ra tùy theo quyền hạn được cấp

SQL Injection là một dạng tấn công dễ thực hiện, hầu hết mọi thao tác người tấn công cần được thực hiện với một trình duyệt web, có thể kèm theo một ứng dụng proxy server Chính vì đơn giản như vậy cho nên bất cứ ai cũng có thể học cách tiến hành một cuộc tấn công Lỗi bắt nguồn từ mã nguồn của ứng dụng web chứ không phải từ phía database, chính vì thế bất kỳ thành phần nào của ứng dụng

mà người dùng có thể tương tác được để điều khiển nội dung đề có thể được sử dụng để tiến hành chèm truy vấn có hại

SQL Injection thường xảy ra trên các ứng dụng web có cơ sở dữ liệu được quản trị bằng các hệ quản trị như SQL Server, MySQL, Oracle, DB2, Sysbase…

1.2 Mục đích của tấn công SQL Injection.

- Đánh cắp dữ liệu từ cơ sở dữ liệu

- Thay đổi dữ liệu trong cơ sở dữ liệu

- Đánh sập một website

1.3 Các dạng tấn công SQL Injection.

1.3.1 Dạng tấn công vượt qua kiểm tra đăng nhập.

Với dạng tấn công này, tin tặc có thể dễ dàng vượt qua các trang đăng nhập nhờ vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng web

Xét một ví dụ điển hình, thông thường để cho phép người dùng truy cập vào các trang web được bảo mật, hệ thống thường xây dựng trang đăng nhập để yêu cầu người dùng nhập thông tin về tên đăng nhập và mật khẩu Sau khi người dùng nhập thông tin vào, hệ thống sẽ kiểm tra tên đăng nhập và mật khẩu có hợp lệ hay không để quyết định cho phép hay từ chối thực hiện tiếp Trong trường hợp này, trang web thường được thiết kế như sau

Mẫu form yêu cầu người dùng nhập tên đăng nhập và mật khẩu:

Hình 1 Form đăng nhập.

Code xử lí yêu cầu đăng nhập của người dùng:

cnn.Open();

SqlCommand cmdangnhap = new SqlCommand();

cmdangnhap.Connection = cnn;

cmdangnhap.CommandText = "Select * from Users where (Tendangnhap = '" + tendn.Value.ToString() + "') and (Matkhau = '" + Password.Value.ToString() +

"')";

temp = cmdangnhap.ExecuteReader();

if (temp.Read() == true)

{

Session["dadangnhap"] = 1;

Session["tendn"] = temp[0].ToString();

Session["hoten"] = temp[2].ToString();

Session["landangnhap"] = (int)temp[9] + 1;

Session["role"] = temp[10].ToString();

temp.Close();

//Tăng số lần đăng nhập thêm 1;

SqlCommand cmlandangnhap = new SqlCommand("solandangnhap"); cmlandangnhap.Connection = cnn;

cmlandangnhap.CommandType = CommandType.StoredProcedure; cmlandangnhap.Parameters.Add(new SqlParameter("@tendn",

SqlDbType.VarChar)).Value = tendn.Value.ToString();

cmlandangnhap.ExecuteNonQuery();

Response.Redirect("index.aspx");

}

else

{

Response.Write("<Script Language='javascript'>");

Response.Write("alert('Tên đăng nhập hoặc mật khẩu không chính xác!')");

Response.Write("</script>");

}

}

Đoạn code xử lí trên có vẻ như không chứa bất cứ một lỗ hổng về an toàn nào Người dùng không thể đăng nhập mà không có tên đăng nhập và mật khẩu hợp lệ Tuy nhiên, đoạn mã này thực sự không an toàn và là tiền đề cho một lỗi SQL injection Chỗ sơ hở nằm ở chỗ dữ liệu nhập vào từ người dùng được dùng để xây dựng trực tiếp câu lệnh SQL Chính điều này cho phép những kẻ tấn công có thể điều khiển câu truy vấn sẽ được thực hiện

Nếu người dùng nhập vào ô tên đăng nhập và mật khẩu là: 'OR '' =’ Lúc này, câu truy vấn sẽ được gọi thực hiện là:

SELECT * FROM USERS WHERE TENDANGNHAP ='' OR ''='' AND MATKHAU = '' OR ''=''

Kết quả là câu truy vấn này là hợp lệ và sẽ trả về tất cả các bản ghi của bảng USERS và đoạn mã tiếp theo xử lí người dùng đăng nhập bất hợp pháp này như là người dùng đăng nhập hợp lệ

1.3.2 Dạng tấn công sử dụng câu lệnh SELECT.

Để sử dụng dạng tấn công này, kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công

Lấy ví dụ một trang web bán sản phẩm Thông thường sẽ có một trang nhận

ID của tin cần hiển thị rồi sau đó truy vấn nội dung của ID có tin này

Hình 2 Trang web có nguy cơ bị tấn công.

Code xử lý chức năng hiển thị thông tin của sản phẩm thường được viết theo dạng:

masp = Request.QueryString.Get("masp");

if (masp != null)

{

cm.CommandText = "select * from sanpham inner join loaisp on sanpham.maloai = loaisp.maloai where sanpham.masp='" + masp + "'";

cm.Connection = cnn;

float lanxem = 0;

if (cnn.State.ToString() == "Closed")

{

cnn.Open();

}

dr = cm.ExecuteReader();

dr.Read();

try

{

gia = float.Parse(dr.GetValue(4).ToString());

luotxem = float.Parse(dr.GetValue(8).ToString());

hinh = dr.GetString(5);

tensp = dr.GetString(1);

thongtin = dr.GetString(2);

keyword = dr.GetString(9);

description = dr.GetString(10);

tenloai = " | " + dr.GetString(12);

lanxem = float.Parse(dr.GetValue(8).ToString()) + 1;

cm.CommandText = "update sanpham set solanxem=" + lanxem + " where masp ='" + dr.GetValue(0).ToString() + "'";

dr.Close();

cm.ExecuteNonQuery();

}

catch { }

}

else

{

Response.Redirect("index.aspx");

}

Trong các tình huống thông thường, đoạn mã này hiển thị nội dung của tin

có masp trùng với masp đã chỉ định và hầu như không thấy có lỗi Tuy nhiên, giống như ví dụ đăng nhập ở trước, đoạn mã này để lộ sơ hở cho một lỗi SQL injection khác Kẻ tấn công có thể thay thế một masp hợp lệ bằng cách gán masp cho một giá trị khác, và từ đó, khởi đầu cho một cuộc tấn công bất hợp pháp, ví dụ như: HRBD’ ORDER BY 16—

Lúc này câu truy vấn sẽ trở thành:

SELECT * FROM SanPham WHERE Masp = ‘HRBD’ ORDER BY 16 ‘ Dấu “ “ trong SQL có nghĩa là chú thích.Mục đích là dùng để loại bỏ các lệnh SQL nằm phía sau dấu “ “

Bằng cách này hacker có thể chèn bất cứ câu lệnh sql nào vào để website thực hiện bằng cách thêm dấu “ ‘ “ và các câu lệnh SQL muốn thực hiện sau địa chỉ url của website

* Ví dụ: để xem thông tin về phiên bản của hệ quản trị CSDL mà website đang dùng ta chèn thêm vào url chuỗi giá trị như sau:

'UNION ALL SELECT

'1',@@version,'3','4',5,'6',7,'8','9','10','11','12','13','14','15','16-Lúc này câu lệnh truy vấn ban đầu không thành công (vì masp lúc này sẽ là

“HRBD-“ mã sản phẩm này không tồn tại) chương trình sẽ thực hiện thêm câu lệnh SELECT phía sau từ khóa UNION (từ khóa này dùng để hợp kết quả của 2 câu lệnh SELECT thành 1)

Dưới đây là kết quả khi thực hiện yêu cầu tới địa chỉ:

http://quatangsv.vn/Chitietsanpham.aspx?masp=-HRDN' UNION ALL SELECT

'1',@@version,'3','4',5,'6',7,'8','9','10','11','12','13','14','15','16' Hình 3: Trang web bị lỗi sau khi thực hiện câu lệnh.

1.3.3 Dạng tấn công sử dụng câu lệnh INSERT.

Thông thường các ứng dụng web cho phép người dùng đăng kí một tài khoản để tham gia Chức năng không thể thiếu là sau khi đăng kí thành công, người dùng có thể xem và hiệu chỉnh thông tin của mình SQL Injection có thể được dùng khi hệ thống không kiểm tra tính hợp lệ của thông tin nhập vào

* Ví dụ: Mẫu dùng để đăng ký tài khoản như sau:

Hình 4: Mẫu đăng ký tài khoản.

Nếu code xử lí lúc đăng kí có dạng:

cnn.Open();

cmdangki.CommandText = "insert into Users(HoTen, Tendangnhap, Matkhau, Email, Gioitinh, NgayDangKi, Solandangnhap) values ('" + hoten.Value.ToString() + "', '" + tentruycap.Value.ToString() + "', '" + matkhau.Value.ToString() + "','" + email.Value.ToString() + "',0 ,1/1/2012, 0)"; cmdangki.Connection = cnn;

try

{

cmdangki.ExecuteNonQuery();

Session["dadangnhap"] = 1;

Session["tendn"] = tentruycap.Value.ToString();

Session["hoten"] = hoten.Value.ToString();

Response.Write("<Script Language='javascript'>");

Response.Write("alert('Quá trình đăng kí thành công!');");

Response.Write("window.location= 'index.aspx';");

Response.Write("</script>");

}

catch

{

Response.Write("<Script Language='javascript'>");

Response.Write("alert('loi');");

Response.Write("</script>");

}

Thì chắc chắn sẽ bị lỗi SQL injection, bởi vì nếu ta nhập vào trường thứ nhất

ví dụ như: ' + (SELECT TOP 1 Tendn FROM Users) + ' Lúc này câu truy vấn sẽ là: INSERT INTO Users VALUES(' ' + (SELECT TOP 1 Tendn FROM Users) + ' ', 'abc') Khi đó, lúc thực hiện lệnh INSERT, xem như bạn đã yêu cầu thực hiện thêm một lệnh nữa đó là: SELECT TOP 1 Tendn FROM Users

1.3.4 Dạng tấn công sử dụng stored – procedures.

Trong SQL Sever có các database master và trong các database này có các store procude system được lập trình sẵn để thực hiện các công việc cụ thể nào đó Nếu như hacker chiếm được quyền điều khiển hệ quản trị này và thực hiện truy vấn đến các store này hoặc nguy hiểm hơn là xóa đi database master thì toàn bộ database sẽ bị ảnh hưởng và không hoạt động được

Việc tấn công bằng stored-procedures sẽ gây tác hại rất lớn nếu ứng dụng được thực thi với quyền quản trị hệ thống 'sa'

* Ví dụ: nếu ta thay đoạn mã tiêm vào dạng: ' ; EXEC xp_cmdshell

‘cmd.exe dir C: ' Lúc này hệ thống sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server

Việc phá hoại kiểu nào tuỳ thuộc vào câu lệnh đằng sau cmd.exe Nếu cài SQL Server ở chế độ mặc định thì SQL Server chạy trên nền SYSTEM, tương đương mức truy cập ở Windows

Dưới đây là một số extended stored procedure mà hacker thường hay sử dụng để thực thi những câu lệnh xem nội dung thông tin trong máy nạn nhân:

 Xp_availablemedia: Hiển thị những ổ đĩa hiện hành trên máy

 Xp_dirtree: Hiển thị tất cả các thư mục kể cả thư mục con

 Xp_loginconfig: Lấy thông tin về chế độ bảo mật trên server

 Xp_makecab: Cho phép người sử dụng tạo các tập tin lưu trữ trên Server (hay bất cứ tập tin nào mà server có thể truy xuất

 Xp_ntsec_enumdomain: liệt kê những domain mà server có thể truy vấn

Chương II: Kỹ thuật tấn công SQL Injection

và cách phòng chống.

2.1 Kỹ thuật tấn công SQL Injection.

2.1.1 Tìm kiếm mục tiêu.

Có thể dùng các bất kỳ một search-engine nào trên mạng như các trang login, search, feedback…

Có thể “custome Search Engine” lại cho phù hợp với yêu cầu của bạn

Một số trang web chuyển tham số qua các field ẩn, phải xem mã html mới thấy rõ

<FORM action= Search/search.asp method= post>

<input type=hidden name=A value=c>

</FORM>

Một số từ khóa tìm kiếm website bị lỗi có thể tấn công SQL Injection:

 inurl:php?id=

 inurl: product_detail php?id=

2.1.2 Kiểm tra chỗ yếu của trang web.

Có thể điền thêm một số lệnh trên url, hoặc trên các from login, search, hoặc search để phát hiện lỗi

* Ví dụ: ta có website có địa chỉ như sau:

http://nhuaphucthinh.com.vn/product.php?id=20

Hình 5: Trang web trước khi chèn ký tự vào cuối URL.

Sau khi thêm dấu “ ’ ” cuối URL của website:

Hình 6: Trang web sau khi chèn ký tự vào cuối URL.

Dòng thông báo trong khung chính là điểm nhận biết rằng website này có thể bị tấn công bằng SQL Injection

2.1.3 Nhận dữ liệu qua “database using ODBC error message”.

Đây là bước quan trọng nhất và đòi hỏi nhiều kĩ thuật lẫn sự am hiểu về cơ

sở dữ liệu

Ta có thể khai thác rất nhiều thông tin của cơ sở dữ liệu ở bước này

* Ví dụ sử dụng câu lệnh:

“UNION SELECT 1,2,unhex(hex(group_concat(table_name))),4,5,6,7 FROM INFORMATION_SCHEMA.TABLE WHERE TABLE_SCHEMA=database() “

Ta sẽ lấy được tất cả tên của các bảng có trong cơ sở dữ liệu

2.1.4 Thu thập các dữ liệu quan trọng.

Từ những dữ liệu tìm được ở bước trên, ta lọc ra các bảng, cột có chứa những dữ liệu quan trọng như tài khoản đăng nhập, mật khẩu,…

* Ví dụ sử dụng câu lệnh:

“UNION SELECT 1,2,unhex(hex(group_concat(id,0x3a,password))),4,5,6,7 FROM tbl_user”

Ta sẽ có id và mật khẩu của tất cả user có trong bảng user

2.1.5 Xử lý kết quả tìm được.

Sau khi đã có được các thông tin quan trọng như tài khoản và mật khẩu, tên bảng, tên cột ta có thể tiến hành đăng nhập, thay đổi thông tin bằng câu lệnh UPDATE hoặc thêm một bản ghi mới vào bảng bằng câu lệnh INSERT

2.2 Cách phòng chống tấn công SQL Injection.

- Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử lí dữ liệu đến tài khoản người dùng mà ứng dụng web đang sử dụng

- Các ứng dụng thông thường nên tránh dùng đến các quyền như “dbo” hay

“sa” Quyền càng bị hạn chế, thiệt hại càng ít

- Loại bỏ bất kì thông tin kĩ thuật nào chứa trong thông điệp chuyển xuống cho người dùng khi ứng dụng có lỗi

- Kiểm tra chặt chẽ các kí tự nhập vào trước khi thực hiện các lệnh truy vẫn SQL Viết các hàm xóa bỏ các kí tự đặc biệt từ chuỗi nhập vào như: ‘, “”, , @@, SELECT, UNION, DROP, INSERT, xp_