Ứng dụng phòng chống

Một phần của tài liệu Tìm hiểu về các dạng tấn công SQL injection xây dựng và demo các kịch bản tấn công SQL injection cho phép vượt qua khâu đăng nhập, thêm, sửa, xóa và đánh cắp dữ liệu (Trang 37 - 39)

Do tính chất nguy hiểm của tấn công chèn mã SQL, nhiều giải pháp đã được đề xuất nhằm hạn chế tác hại và ngăn chặn triệt để dạng tấn công này. Nhìn chung, cần áp dụng kết hợp các biện pháp phòng chống tấn công chèn mã SQL để đảm bảo an toàn cho hệ thống. Các biện pháp, kỹ thuật cụ thể có thể áp dụng gồm:

 Các biện pháp phòng chống dựa trên kiểm tra và lọc dữ liệu đầu vào:

+ Kiểm tra tất cả các dữ liệu đầu vào, đặc biệt dữ liệu nhập từ người dùng và từ các nguồn không tin cậy;

+ Kiểm tra kích thước và định dạng dữ liệu đầu vào;

+ Tạo các bộ lọc để lọc bỏ các ký tự đặc biệt (như *, ‘, =, --) và các từ khóa của ngôn ngữ SQL (SELECT, INSERT, UPDATE, DELETE, DROP,....) mà kẻ tấn công có thể sử dụng:

 Sử dụng thủ tục cơ sở dữ liệu (stored procedures) và cơ chế tham số hóa dữ liệu: + Đưa tất cả các câu truy vấn (SELECT) và cập nhật, sửa, xóa dữ liệu

(INSERT, UPDATE, DELETE) vào các thủ tục. Dữ liệu truyền vào thủ tục thông qua các tham số, giúp tách dữ liệu khỏi mã lệnh SQL, nhờ đó hạn ngăn chặn hiệu quả tấn công chèn mã SQL;

+ Sử dụng cơ chế tham số hóa dữ liệu hỗ trợ bởi nhiều ngôn ngữ lập trình web như ASP.NET, PHP và JSP.

 Các biện pháp phòng chống dựa trên thiết lập quyền truy nhập người dùng cơ sở dữ liệu:

+ Không sử dụng người dùng có quyền quản trị hệ thống hoặc quản trị cơ sở dữ liệu làm người dùng truy cập dữ liệu. Ví dụ: không dùng người dùng sa (Microsoft SQL) hoặc root (MySQL) làm người dùng truy cập dữ liệu. Chỉ dùng các người dùng này cho mục đích quản trị.

+ Chia nhóm người dùng, chỉ cấp quyền vừa đủ để truy cập các bảng biểu, thực hiện câu truy vấn và chạy các thủ tục.

+ Tốt nhất, không cấp quyền thực hiện các câu truy vấn, cập nhật, sửa, xóa trực tiếp trên các bảng dữ liệu. Thủ tục hóa tất cả các câu lệnh và chỉ cấp quyền thực hiện thủ tục

+ Cấm hoặc vô hiệu hóa (disable) việc thực hiện các thủ tục hệ thống (các thủ tục cơ sở dữ liệu có sẵn) cho phép can thiệp vào hệ quản trị cơ sở dữ liệu và hệ điều hành nền.

 Sử dụng các công cụ rà quét lỗ hổng chèn mã SQL, như SQLMap, hoặc Acunetix Vulnerability Scanner để chủ động rà quét, tìm các lỗ hổng chèn mã SQL và có biện pháp khắc phục phù hợp.

3. Kết luận.

Báo cáo nghiên cứu đã nêu lên một cách tổng thể về tấn công tiêm nhiễm SQL ịnection, các loại tấn công, demo và một số phương pháp phát hiện, ngăn chặn. Tiêm nhiễm SQL (còn gọi là SQL Injection) không còn là khái niệm quá mới, nhưng nó vẫn là một trong những kiểu tấn công mạng khá phổ biến. Tấn công tiêm nhiễm SQL là một kỹ thuật tấn công vào hệ thống cơ sở dữ liệu của ứng dụng (web, mobile hoặc desktop …) thông qua việc kẻ tấn công lợi dụng lỗ hổng để tiến hành tiêm nhiễm mã độc vào câu truy vấn SQL và thi hành các câu lệnh SQL bất hợp pháp trên cơ sở dữ liệu đằng sau ứng dụng web.

Tấn công tiêm nhiễm SQL vô cùng nguy hiểm vì kẻ tấn công không chỉ có thể ăn cắp được dữ liệu chứa thông tin nhạy cảm mà chúng còn có thể thay đổi dữ liệu, thậm chí là kiểm soát cả máy chủ mà CSDL đang chạy. Tấn công tiêm nhiễm SQL xảy ra trên các hệ quản trị CSDL quan hệ như MySQL, MS SQL, DB2, Oracle… với bốn dạng tấn côn SQL injection chính là:

+ Vượt qua các khâu xác thực người dùng  + Chèn, xóa hoặc sửa đổi dữ liệu

 + Đánh cắp các thông tin trong CSDL  + Chiếm quyền điều khiển hệ thống

Trong phần báo cáo nghiên cứu cũng đưa ra một số demo tấn công SQL injection cho phép vượt qua khâu đăng nhập, thêm, sửa, xóa và đánh cắp dữ liệu. Đồng thời đưa ra các phương pháp ứng dựng phòng chống tấn công SQL injection hữu hiệu... 4. Tài Liệu Tham Khảo

• Bài giảng cơ sở an toàn thông tin – Hoàng Xuân Dậu – Nguyễn Thị Thanh Thủy – Học Viện Công Nghệ Bưu Chính Viễn Thông

• Tấn công kiểu SQL Injection-Tác hại và phòng tránh - Lê Đình Duy – KhoaCNTT - Trường ĐH Khoa Học Tự Nhiên TP.HCM

• SQL Injection-Are you web Applications vulnerable. Author Kevin Spett • An Introduction to SQL Injection Attacks For Oracle Developers.Author

StephenKost

• Luận văn Thạc sĩ của Trần Quang Trung ĐHCN-ĐHQGHN

Links một số tài liệu và web tham khảo khác:

https://123docz.net/document/2596036-tim-hieu-tan-cong-sql-injection- trong-oracle-ppt.htmhttps://www.acunetix.com/websitesecurity/sql-injection/https://www.tutorialspoint.com/sql/index.htmhttps://fallensnow-jack.blogspot.com/2011/08/webgoat-modify-data-with-sql- injection.htmlhttps://www.youtube.com/watch?v=tmPIW-Zrjo8https://viblo.asia/p/ky-thuat-tan-cong-sql-injection-jamoG89ovz8Phttps://portswigger.net/web-security/sql-injection/union-attacks

Một phần của tài liệu Tìm hiểu về các dạng tấn công SQL injection xây dựng và demo các kịch bản tấn công SQL injection cho phép vượt qua khâu đăng nhập, thêm, sửa, xóa và đánh cắp dữ liệu (Trang 37 - 39)

Tải bản đầy đủ (DOCX)

(18 trang)
w