TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN CHỈ Nghiên cứu phát triển thử nghiệm kỹ thuật phát SQL injection Sinh viên : Nguyễn Trung Kiên Lớp : 09DHBM3 Mã số sinh viên :2033181116 Sinh viên : Trương Hữu Phúc Lớp : 09DHBM3 Mã số sinh viên :2033181058 GIÁO VIÊN HƯỚNG DẪN Trần Đắc Tốt LỜI CẢM ƠN Chúng em xin gửi lời cảm ơn chân thành tới quý thầy cô khoa Công Nghệ Thông Tin trường Đại Học Cơng Nghiệp Thực Phẩm Thành phố Hồ Chí Minh hướng dẫn bảo, truyền đạt kiến thức kinh nghiệm cho chúng em Đặc biệt chúng em xin gửi lời cảm ơn sâu sắc đến thầy Trần Đắc Tốt , giáo viên hướng dẫn trực tiếp ,đã tạo hội cho chúng em phát triển ý tưởng đến mức cao nhất, dẫn dắt chúng em hoàn thành đồ án cách tốt Chúng em nỗ lực cho đồ án khơng thể tránh khỏi sai sót.Mong có thơng cảm ý kiến thầy đồ án hoàn thiện Sau cùng, em xin kính chúc q thầy giáo sức khoẻ, thành công công việc đời sống Chúng em xin chân thành cảm ơn TÓM TẮT Những năm trước website thường xuất dạng tĩnh, cho phép người dùng vào xem nội dung, tương tác nhiều với website, ứng dụng web ngày phát triển, người lập trình viên thường phát triển với website động tương tác với liệu, nhằm tối đa hoá việc giao tiếp với người dùng.Bên cạnh việc sử dụng website động dễ dẫn đến nguy bị công đến sở liệu ,lấy cắp thông tin khách hàng, chiếm quyền điều khiển trang web.Theo OWASP (Open Web Application Security Project) , mười lỗ hổng bảo mật ứng dụng web nguy hiểm , SQL injection đứng hàng A1 mối đe doạ số ứng dụng web Đồ án chúng em thực giải việc phát việc trang web bị công SQL injection cách sử dụng signature đặc biệt để kiểm tra đầu vào việc phát website có lỗ hổng sql injection cách thay thực thủ cơng việc kiểm định SQL injection cho tự động thực trả kết Đồ án trình bày theo bố cục sau: Chương 1: Tổng Quan SQL-injection Chương tổng quan công SQL-injection, thức công phân loại SQL-injection Chương 2: Khai Thác SQL-injection.Chương vào vấn đề khai thác lỗ hổng , phương thức công phân loại SQL-injection, Sử dụng số tính nâng cao DBMS để công SQL-injection Chương 3:Phòng Chống SQL-injection.Chương nghiên cứu cách phòng chống giảm thiểu tác động SQL-injection ứng dụng web, cách sử dụng IDS số phương pháp tránh SQL-injection MỤC LỤC LỜI CẢM ƠN TÓM TẮT Web application firewall PHP Data Object Cơ sở liệu MỤC LỤC BẢNG MỤC LỤC HÌNH CHƯƠNG I: TỔNG QUAN VỀ SQL-INJECTION 10 1.1 TỔNG QUAN VỀ ỨNG DỤNG WEB 10 1.2 TỔNG QUAN VỀ SQL-INJECTION 10 1.2.1 KHÁI NIỆM 10 1.2.2 NGUYÊN NHÂN 10 1.2.3 HẬU QUẢ 11 CHƯƠNG II: KHAI THÁC SQL-INJECTION 11 2.1 CÁC KIỂU TẤN CÔNG SQL-INJECTION 11 2.2 Những parameter thường bị tiêm sqli 13 2.3 SƠ LƯỢC MỘT SỐ LỆNH TRONG SQL THƯỜNG BỊ SỬ DỤNG ĐỂ TẤN CÔNG SQL 15 2.3.1 Cú pháp câu lệnh SQL 15 2.3.2 Toán tử DISTINCT ALL 15 2.3.3 Cách hoạt động comment 15 2.4 TỔNG QUAN VỀ MƠ HÌNH KẾT NỐI GIỮA DATABASE VÀ WEB APPLICATION TRÊN MYSQL SERVER 16 2.5 QUY TRÌNH TẤN CƠNG SQL INJECTION 17 2.6 TÌM HIỂU CÁC DATABASE CỦA MỘT SỐ DBMS 19 2.6.1 Microsoft SQL Server: 19 2.6.2 MySQL 21 2.6.3 PostgreSQL 22 2.6.4 Oracle Database 23 2.6.5 SQLite 25 2.7 MỘT SỐ TÍNH NĂNG NÂNG CAO CỦA MYSQL VÀ MSSQL 25 2.7.1 Microsoft SQL Server: 25 2.7.2 MySQL server 28 2.7.3 PostgreSQL 30 2.8 BYPASS WAF TRONG SQL INJECTION 32 2.8.1 Cách hoạt động waf 32 2.8.2 Một số phương pháp kiểm tra web server có có sử dụng WAF 32 2.8.3 Một số phương pháp bypass 33 2.8 PHẦN MỀM PHÁT HIỆN LỖ HỔNG SQL-INJECTION 35 2.8.1 Giới thiệu phần mềm phát lỗ hổng SQLI 35 2.8.2 Giao diện phần mềm 35 2.8.3 Ngơn ngữ lập trình số thư viện phát triển 36 2.8.4 Môi trường phát triển phần mềm 37 2.8.5 Phương thức hoạt động 37 2.8.6 Chức module 38 2.8.7 Cài đặt Thử nghiệm 41 CHƯƠNG III: PHÒNG CHỐNG SQL-INJECTION 44 3.1 NHỮNG CÁCH TRÁNH SQL-INJECTION 44 3.1.1 Sử dụng truy vấn tham số hoá [15] 44 3.1.2 Sử dụng thủ tục lưu trữ 45 3.1.3 Xác thực đầu vào 47 3.1.4 Escaping ALL user-supplied Input 47 3.1.5 Hex-encoding đầu vào 48 3.1.6 Sử dụng waf 48 3.1.7 Hash password 50 3.1.8 WAF Có Thực Sự Tốt ? 51 3.1.9 Làm cách khắc phục tạm thời trước giải triệt để SQL injection 51 3.2 NIDS(SNORT) CHO VIỆC PHÁT HIỆN TẤN CÔNG SQL-INJECTION 52 3.2.1 Tổng quan IDS 52 3.2.2 Công cụ Snort 52 3.2.3 Kiến trúc snort (13) 52 3.2.4 Sử dụng snort để phát sql injection 58 DANH MỤC TÀI LIỆU THAM KHẢO 67 DANH MỤC CÁC TỪ VIẾT TẮT TỪ VIẾT TẮT DBMS SQL WAF PDO CSDL TỪ ĐẦY ĐỦ Database Management System Structured Query Language Web application firewall PHP Data Object Cơ sở liệu NGHĨA Hệ quản trị sở liệu Ngơn ngữ truy vấn có cấu trúc Tường lửa ứng dụng web Lớp truy xuất liệu php Nơi tập hợp sở liệu MỤC LỤC BẢNG Bảng 1: Bảng Cú Pháp Những Câu Lệnh Thường Bị Lạm Dụng 15 Bảng 2: Bảng Cú Pháp Comment 16 Bảng 3: Bảng sys.databases MSSQL 19 Bảng 4: Bảng sys.syslogins MSSQL 20 Bảng 5: Bảng information_schema MSSQL 21 Bảng 6: Bảng TABLES MySQL 21 Bảng 7: Bảng COLUMNS MySQL 22 Bảng 8: Bảng COLUMN_PRIVILEGES MySQL 22 Bảng 9: Bảng USER_PRIVILEGES 22 Bảng 10: Bảng pg_user PosstgreSQL 23 Bảng 11: Bảng pg_database PostgreSQL 23 Bảng 12: Bảng V$VERSION Oracle 23 Bảng 13: Bảng GLOBAL_NAME Oracle 24 Bảng 14: Bảng V$DATABASE Oracle 24 Bảng 15: Bảng ALL_TABLES Oracle 24 Bảng 16: Bảng ALL_TAB_COLUMNS Oracle 24 Bảng 17: Bảng SQLITE_MASTER SQLITE 25 Bảng 18: Bảng Cú Pháp ByPass WAF thường gặp 34 MỤC LỤC HÌNH Hình :Các kiểu cơng SQL- injection 11 Hình 2: Hình Thức Tấn Cơng SQL-Injection Thơng thường 13 Hình 3: Mơ Hình Kết Nối Dữ liệu 16 Hình 4: Quy Trình Tấn Công SQL-injection 18 Hình 5: Mơ Hình WAF 32 Hình 6: Sơ Đồ Chức Năng Phần Mềm Phát Hiện Lỗ Hổng 38 Hình 7: Mơ Hình WAF Part 50 Hình 8: HTTP parameter 51 Hình 9: Snort’s Packet-Sniffing 53 Hình 10: Snort’s Preprocessor 54 Hình 11: Snort’s Detect-engine 57 Hình 12: Snort’s Alert Log 58 CHƯƠNG I: TỔNG QUAN VỀ SQL-INJECTION 1.1 TỔNG QUAN VỀ ỨNG DỤNG WEB Ngày , ứng dụng web trở nên khơng thể thiếu , hữu mặt sống , từ nơng nghiệp đến mua sắm, giải trí, tin tức , Và điều cách ứng dụng web khơng cịn giống năm trước sử dụng kiểu web tĩnh mà sử dụng loại website động để tương tác với người dùng Để làm điều website phải có sở liệu đáp ứng cung cấp thông tin cụ thể mà phía người dùng u cầu.Để website tương tác với sở liệu cần có hệ quản trị sở liệu để quản lý website truy xuất liệu 1.1.1 SQL ? truy vấn động SQL ? SQL ( Structured Query Language) ngơn ngữ truy vấn có cấu trúc sử dụng để quản lý truy vấn thông tin từ sở liệu nhanh, giúp bảo trì thơng tin dễ dàng Truy vấn động SQL câu query tạo thời điểm chạy Ví dụ : người dùng nhập tham số tìm kiếm truy vấn chạy với giá trị Truy vấn SQL hữu ích việc tìm kiếm mục mà khơng biết rõ tên giá trị cần tìm kiếm.Thơng thường phần lớn trang web có mục tìm kiếm filter , từ việc tác động người dùng sở liệu trở nên gần 1.2 TỔNG QUAN VỀ SQL-INJECTION 1.2.1 KHÁI NIỆM SQL injection lỗ hổng ứng dụng web nằm bảng A1:Injection top 10 OWASP, lỗ hổng có khả cho phép công khai thác việc sử dụng truy vấn SQL để ‘tiêm’ thông qua liệu đầu vào ứng dụng web từ máy khách.Nếu khai thác thành công đọc liệu nhạy cảm , thực thao tác thay đổi thông tin database 1.2.2 NGUYÊN NHÂN Hầu hết liệu đầu kí tự đặc biệt có thực thay đổi liệu phía server, biến môi trường tham số dịch vụ hay chức hệ điều hành từ phía người dùng nhập vào,hiển nhiên nguyên nhân bất cẩn người lập trình viên, khơng có thực lọc liệu ràng buộc kỹ liệu đầu vào cho input đầu ứng dụng Không giới hạn quyền kiểm soát database user Database Management System DBMS đa số thường dùng user mặc định có tồn quyền kiểm sốt database Mã hố lưu lượng mạng ngăn không cho người khác xem liệu từ gói tin Hình 9: Snort’s Packet-Sniffing 3.2.3.2 Preprocessor( module tiền xử lý) Đây thành phần hay plugin sử dụng với Snort để xem xét , xếp thay đổi gói liệu trước giao gói cho detection engine Một vài preprocessor cịn thực tìm dấu hiệu bất thường tiêu đề gói sinh cảnh báo Module gồm nhiệm vụ : Kết hợp lại gói tin : Khi liệu lớn gửi , thông tin khơng đóng gói vào tồn vào gói tin mà thực phân mảnh , chia thành nhiều gói tin gửi Khi snort nhận gói tin này, phải thực kết nối lại để có gói tin ban đầu.Module tiền xử lý giúp snort hiểu phiên làm việc khác Giải mã chuẩn hố giao thức (decode/normalize): cơng việc phát xâm nhập dựa dấu hiệu nhận dạng nhiều thất bại kiểm tra giao thức có liệu biểu diễn nhiều dạng khác Hình 10: Snort’s Preprocessor Phát xâm nhập bất thường ( nonrule/ anormal) : plugin dạng thường để xử lý với xâm nhập khó phát luật thơng thường - Các preprocessor : - Frag2 - Stream4 - HTTP Inspect - RPC_Decode - Telnet_Decode - ARPSpoof - ASN1_Decode - Flow - SFPortscan - Performance Monitor 3.2.3.3 Detection engine Là thành phần quan trọng cấu trúc snort Nó chịu trách nhiệm phát hành vi bất thường gói tin dựa rule snort Nếu gói tin khớp với rule , hành động định sẵn rule thực thi Bản thân quy tắc bao gồm hai phần : - Rule header: Chứa thông tin hành động mà luật thực phát có xâm nhập nằm gói tin chứa tiêu chuẩn để áp dụng luật với gói tin loại gói tin mạng (TCP,UDP,ICMP,etc ) , nguồn địa IP đích cổng Cấu trúc header : Action | Protocol | Address | Port | Direction | Address | Port o Action : Hành động phát dấu hiệu bất thường o Protocol : Giao thức mạng o Address : Địa nguồn địa đích o Port : Port nguồn port đích o Direction : Chỉ đâu nguồn đâu đích ( ->) VD : Alert ICMP any any -> any any - Rule Option: Chứa nội dung thông điệp cảnh báo thơng tin có thêm số option đính kèm Một option có thành phần : từ khoá đối số Các đối số phân biệt với từ khoá dấu hai chấm o Msg : thông điệp hiển thị phát bất thường o Ack : Trường sequence number người gửi mong đợi Trường có ý nghĩa cờ flag trường TCP thiết lập o Content : Một đặc tính quan trọng Snort khả tìm thấy mẫu liệu gói tin Mẫu tồn dạng chuỗi ASCII kí tự thập lục phân Giống virut, kẻ xâm nhập có dấu hiệu từ khóa content để tìm dấu hiệu gói tin o Offset : Từ khóa offset sử dụng kết hợp với từ khóa content Sử dụng từ khóa này, bạn bắt đầu tìm kiếm từ vị trí xác định so với vị trí bắt đầu gói tin Sử dụng số đối số từ khóa o Dsize : Từ khóa dsize sử dụng để tìm chiều dài phần liệu gói tin Nhiều cách công sử dụng lổ hổng tràn đệm cách gửi gói tin có kích thước lớn Sử dụng từ khóa này, bạn tìm thấy gói tin có chiều dài liệu lớn nhỏ số xác định o Sid : Sử dụng SID, cơng cụ ACID biểu diễn luật thật tạo cảnh báo cụ thể o Rev : Từ khóa rev thêm vào option luật Snort để số revision luật Nếu bạn cập nhật luật, bạn sử dụng từ khóa để phân biệt phiên Các module output sử dụng số để nhận dạng số revision o Priority : Từ khóa priority gán độ ưu tiên cho luật o Và số loại khác Hình 11: Snort’s Detect-engine Khả xử lý module phát phụ thuộc vào nhiều yếu tố : số lượng ,tốc độ hệ thống, băng thơng mạng Module detect engine có khả tách phần gói tin áp dụng luật lên phần gói tin: - IP header - Header lớp transport (TCP,UDP) - Header lớp Application ( DNS header, FTP header, HTTP header ) - Phần tải gói tin (packet payload) Do luật snort đánh số thứ tự ưu tiên nên gói tin bị phát nhiều luật khác , cảnh báo đưa dựa theo luận có mức ưu tiên cao 3.2.3.4 Alerting /Logging Component Nếu gói tin phù hợp với rule detect engine, cảnh báo phát sinh Cảnh báo gửi tới tập tin log thông qua kết nối mạng.Unix socket hay Windows Popup hay SNMP Traps Các cảnh báo lưu CSDL SQL hay Mysql Postgres Hình 12: Snort’s Alert Log 3.2.4 Sử dụng snort để phát sql injection Phần sử dụng số quy tắt lấy từ [14] thực phát cơng sql injection mơ hình 3.2.4.1 Các rules sử dụng Trong Phần sử dụng payload  ' or 1=1 -  " OR =  union select * from Sử dụng rules + rules 1: (msg: "Error Based SQL Injection Detected"; content: "%27" ; sid:100000011; ) Thử nghiệm : Lần 1: tiêm câu lệnh ' or 1=1 - Kết quả: Snort phân tích công sql Lần 2: tiêm câu lệnh " or 1=1 - Kết phát dấu hiệu công sql injection Lần tiêm câu lệnh union select * from Kết : Với lần tiêm cuối, việc snort không đưa cảnh báo cấu trúc rule rule cảnh báo phát ký tự ' %27 Phân tích rule : - Với rule phát dấu ' đưa cảnh báo - Đơi việc phân tích sớm thường xuyên đưa thông báo giả - Double encode url bypass rule + rules 2: alert tcp any any -> any 80 (msg:"UNION SQL Injection – UNION SELECT - SQL"; flow:established,to_server; pcre:"/((\?)[^\n]*(\=)[^\n]*((\%55)|(u)|(\%75))((\%4e)|(n)|(\%6e))((\%69)|(i)|(\%49))((\% 6f)|(o)|(\%4f))((\%4e)|(n)|(\%6e)))/i" ; classtype: Web-application-attack; sid:1000005; rev:1;) Thử nghiệm : Lần 1: tiêm câu lệnh ' or 1=1 - Kết Mặc dù payload chèn thành công trả thông tin film mà snort không trả cảnh báo Lần 2: tiêm câu lệnh ''or 1=1 - Kết : Lần 3: tiêm câu lệnh union select * from Kết quả: Sau lần thử nghiệm với payload với rules thứ phát payload thứ , lý cấu trúc rule đưa thông báo lỗi với từ union ,và phát từ union url encode qua lần phát Phân tích rule: Rule phát sql injection từ union ,mặc dù độ xác thơng báo đưa lớn bỏ qua số trường hợp chèn vào payload thứ Mắc dù payload phát url encode qua lần url encode từ lần thứ trở rule khơng phát DANH MỤC TÀI LIỆU THAM KHẢO [1] Web Application Penetration Testing ,Module SQL injection [2] https://github.com/rapid7/metasploit-framework/tree/master/data/exploits/mysql [3] https://www.w3resource.com/sql/sql-injection/sql-injection.php [4] https://www.junookyo.com/2012/06/sqli-bypass-waf-web-application.html [5] https://securityforall.wordpress.com/category/hack/hack-sql-injection/ [13] Snort IDS and IPS Toolkit (Jay Beale's Open Source Security) by Brian Caswell (Author), Jay Beale (Author), Andrew Baker (Author) [14] Detecting SQL injection attacks using SNORT IDS [15]https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_She et.html [16]Bypassing Web Application Firewalls- Pavol Lupták [17] https://github.com/payloadbox/sql-injection-payload-list ... PHẦN MỀM PHÁT HIỆN LỖ HỔNG SQL- INJECTION 2.8.1 Giới thiệu phần mềm phát lỗ hổng SQLI Phần mềm quét phát lỗ hổng SQLi phần mềm phát đánh giá lỗ hổng SQLi hệ thống ứng dụng web.Lỗ hổng SQLi thường... tiến hành thử nghiệm giải pháp WAF.Sử dụng công nghệ SQL injection Cross-site Script , nhóm nghiên cứu thử nghiệm thành công phương thức Bypass qua WAF , trích dẫn SQL injection SQL Injection. .. nhiều năm SQL injection nằm top CHƯƠNG II: KHAI THÁC SQL- INJECTION 2.1 CÁC KIỂU TẤN CƠNG SQL- INJECTION Hình :Các kiểu công SQL- injection SQL Injection chia thành loại chính: In-band SQLi : Đây