2. Phần thực hành LAB :
2.3.2.Dạng tấn công sử dụng câu lệnh INSERT :
- Hình thức tấn công kiểu này sẽ giúp cho hacker sử dụng các câu lệnh SQL truy vấn tương tác trực tiếp lên cơ sở dữ liệu của ứng dụng Web thông qua các lỗi do người phát triển ứng dụng vô tình mắc phải .
- Ta có thể xem xét trên một ví dụ điển hình, hacker có thể đưa thêm thông username / password vào cơ sở dữ liệu của dụng Web bằng câu INSERT một cách bình thường .Trong khi trước đó cơ sở dữ liệu của ứng dụng Web chưa hề có thông tin về username / password mà hacker vứa tạo ra .
- Trong trường hợp này, ta sẽ sử dụng 2 trang .Một trang HTML để hiển thị form nhập dữ liệu và một trang ASP dùng để xử lý thông tin nhập từ phía người sử dụng .
Ví dụ : nếu hacker nhập một chuỗi sau vào trong ô nhập dữ liệu username của trang “client2.htm” là : ‘;INSERT INTO USERINFO
VALUES(‘ATTACK’,’P@SSW0RD’);-- .Lúc này câu truy vấn sẻ được gọi lên và thực thi yêu cầu vừa được gửi tới:
- Và câu truy vấn này là hợp lệ với các điều kiện của ứng dụng Web và sẻ được đưa thêm các thông tin mà hacker vừa truyền vào đến table ghi của USERINFO và lúc này tất nhiên hacker đã tự tạo cho mình được username / password trong cơ sở dữ liệu của ứng dụng Web .Lúc này hacker đương nhiên hợp pháp đăng nhập vào hệ thống bằng username của mình như một người hợp lệ .
- Ví dụ về INSERT :
• Sử dụng câu lệnh “’;INSERT INTO USERINFO VALUES(‘ATTACK’,’P@SSW0RD’);--” .
• Ứng dụng Web từ chối đăng nhập vì sai username / password .
• Lúc này thực hiện đăng nhập bằng username : ATTACK và password: P@SSW0RD .
• Ứng dụng Web chấp nhận yêu cầu đăng nhập trên vì username / password có trong cơ sở dữ liệu của ứng dụng Web .
• Và đây là cơ sở dữ liệu của table USERINFO trước và sau khi bị hacker sử dụng câu lệnh INSERT .