Come faccio a testare le vulnerabilità di SQL injection su un sito con campi di input?

Naviga le tue risposte
46

Quali metodi sono disponibili per testare le vulnerabilità di SQL injection?

    
posta John S 25.04.2012 - 05:03
fonte

3 risposte

51

Esistono diversi modi per testare un'applicazione per vulnerabilità come SQL Injection. I test si suddividono in tre diverse metodologie:

Iniezione invisibile :

Esempio di MySQL: 

http://localhost/test.php?id=sleep(30)

Se questa istruzione SQL viene interpretata dal database, saranno necessari 30 secondi per caricare la pagina.

Messaggi di errore: 

http://localhost/test.php?id='"

Se la segnalazione degli errori è abilitata e questa richiesta è vulnerabile a sql injection, verrà generato il seguente errore:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '"' at line 5

Iniezione basata su tecnologia : 

http://localhost/test.php?username=' or 1=1 /*&password=1

In questo caso fornire Tautologia , o una dichiarazione che è sempre vera fornisce un risultato prevedibile. In questo caso il risultato prevedibile sarebbe l'accesso all'attaccante con il primo utente nel database, che è comunemente l'amministratore.

Esistono strumenti che automatizzano l'uso dei metodi sopra descritti per rilevare SQL Injection in un'applicazione web. Esistono strumenti gratuiti e open source come Wapiti e Skipfish che fanno questo. Sitewatch offre un servizio gratuito molto migliore di questi strumenti open source. Posso dirlo perché sono uno sviluppatore di Sitewatch.

    
risposta data 25.04.2012 - 06:51
fonte
13

È meglio non testare il tuo sito per l'iniezione SQL. È meglio evitare la potenziale iniezione SQL. Non creare mai query SQL eseguendo l'elaborazione delle stringhe da soli quando è presente l'input dell'utente. Utilizzare parametri associati in tutte le query (anche disinfettare tutti i dati dell'utente se possono essere utilizzati in modo dannoso e porre limiti ragionevoli alle domande). Questa è la query sql_execute("select user from user_db where id="+input_id) non sicura (immagina se è input_id = "1 OR 1==1 --" ), ma stored_procedure = "select user from user_db where id = ? LIMIT 1;" , sql_execute_with_param(stored_procedure, input_id); è sicuro.

Ovviamente, questo è solo se stai cercando di rendere sicuro il tuo sito. Se stai cercando di trovare difetti in altre applicazioni è un'altra storia, e potenzialmente contro le FAQ che afferma che questo sito non è per i cappelli neri. Ma OWASP ha un ottimo articolo sui test per Iniezione SQL .

    
risposta data 25.04.2012 - 07:26
fonte
4

Se stai iniziando da zero suggerirei uno dei seguenti:

  1. Assumi qualcuno che sappia cosa stanno facendo
  2. Impiegare uno strumento automatico come uno stop-gap iniziale. Alcune opzioni includono Burp Pro, ZAP e SQL Map.

Tieni presente, tuttavia, che quando invii input strani e potenzialmente pericolosi a un'applicazione web, hai una probabilità significativa di danneggiare l'integrità della tua applicazione.

Puoi rompere completamente la tua app web, oppure puoi memorizzare strani input nel database dell'applicazione che poi vengono estratti e analizzati in un secondo momento - e forse anche non dalla tua applicazione.

La regola generale per questo tipo di test è semplice: non hai terminato i test fino a quando non hai ripristinato un backup noto. Non dovresti considerare la tua applicazione in condizioni operative normali dopo un test di iniezione automatizzato fino a quando non lo hai fatto.

    
risposta data 31.12.2013 - 10:38
fonte

Leggi altre domande sui tag

SSL sta morendo? Dovrei acquistare di più i certificati SSL per i miei siti? Perché le richieste HTTPS includono il nome host in testo chiaro?