--- PREMESSE INTRODUZIONE. .:luxx:.

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "--- PREMESSE INTRODUZIONE. .:luxx:."

Rosina Piccolo
8 anni fa
Visualizzazioni

1 SQL INJECTION --- SICUREZZA.:luxx:. PREMESSE Questa guida accenna ad alcuni metodi di SQL injection e si sofferma sulla prevenzione di tali attacchi, per comprendere al meglio il testo è necessaria una conoscenza di base del linguaggio SQL. INTRODUZIONE Lo Structured Query Language, meglio conosciuto come SQL, è quel linguaggio usato per la gestione di strutture database, quindi viene gestito da linguaggi di programmazione per pagine web dinamiche come PHP e ASP. L'SQL injection è una tecnica usata in certi attacchi web, dove si mira a colpire il database di un sito, o a riuscire ad ottenere informazioni su di esso sfruttando delle vulnerabilità che vedremo nel corso della guida. Di tipologie di database ne esistono diverse, ognuna con le sue pecche, tra i tanti è bene conoscere MS SQL Server, che a causa della sua compatibilità con certi comandi è considerato il più vulnerabile, Oracle e MySQL(considerato il meno vulnerabile).

SQL. INTRODUZIONE Lo Structured Query Language, meglio conosciuto come SQL, è quel linguaggio usato per la gestione di strutture database, quindi viene gestito da linguaggi di programmazione per

2 L'attacco vero e proprio consiste nel riuscire a far passare alla pagina dinamica particolari query, interrogazioni, che poi invieranno una certa richiesta al database. METODI D'INTRUSIONE L'attacco avviene principalmente attraverso aree di input dell'utente o tramite url, a seconda che si abbiano diversi metodi della pagina dinamica di passare i valori al database. L'utente, ad esempio, potrebbe inserire alcuni caratteri come l'apostrofo, il doppio trattino, il punto e virgola che hanno un certo significato in SQL e che potrebbero portare, se utilizzati correttamente, a risultati diversi. Immaginiamo ad esempio di avere un modulo di login. La variabile che prende il valore inserito dalla textbox username la chiamiamo $username, la variabile della password la chiamiamo $pass. Una query mal controllata che gestisce questi dati è una del tipo: SELECT * from tabella_utenti WHERE username='$username' AND password='$pass' In questo caso la query è facilmente modificabile; se si inserisce nel campo username la stringa prova' OR 1=1-- si ottiene l'accesso senza aver bisogno di inserire password. L'apice che inseriamo chiude la reale parte che varrà presa dalla pagina dinamica di input, ma dopo troviamo OR 1=1, che indica una condizione che è sempre verificata e che da sempre come risultato il valore booleano true. Il doppio trattino, infine indica un commento e serve a rendere nullo l'ultimo apice. La query quindi diventa SELECT * from tabella_utenti WHERE username='prova' OR 1=1--' AND password='' Di metodi di intrusione ce ne sono diversi, ma ora, iniziamo a parlare di come prevenirli.

L'utente, ad esempio, potrebbe inserire alcuni caratteri come l'apostrofo, il doppio trattino, il punto e virgola che hanno un certo significato in SQL e che potrebbero portare, se utilizzati

3 SICUREZZA Abbiamo già detto che tipologie e metodi di iniezione di codice SQL ce ne sono diversi, anzi ce ne sono parecchi, quindi non esiste una vera e propria cura, esistono invece alcune accortezze per prevenire eventuali attacchi. La cosa fondamentale è il controllo dell'input inserito dall'utente, ci serviremo quindi di specifiche funzioni, preferibilmente gestite lato server, e non da script javascript, per cercare di eliminare, ad esempio, quei caratteri speciali di cui abbiamo parlato prima. Altro punto importante è controllare quei messaggi d'errore che vengono inviati dal server al malintenzionato che cerca di intrufolarsi nel database, esempio sono i famigerati errori ODBC, quali avvertono l'utente dell'errore fornendogli gentilmente la parte di codice PHP o ASP interessata dall'errore. In molti casi, inoltre, le SQL injection si servono di utenti ceh hanno un certo livello di privilegio nel database, è bene ridurre o eliminare questa categoria di utenti. CONTROLLO DEI VALORI Per eliminare quei caratteri potenzialmente pericolosi dalle nostre query esistono una serie di funzioni e procedimenti. Un procedimento comune per contrastare le SQL injection è l'escape, esso si verifica ad esempio se la direttiva magic_quotes_gpc del file php.ini è attiva; questa operazione va ad aggiungere semplicemente un carattere backslash('\') prima di quei caratteri pericolosi come gli apici singoli o doppi. magic_quotes_gpc opera sulle variabili passate tramite $_GET, $_POST e $_COOKIE. I dati passati alla pagina devono essere inoltre filtrati, ossia devono subire un controllo sul loro tipo; esempio tipico è il type casting, che forza una variabile ad essere riconosciuta come un determinato tipo, è quindi usata se si vuole avere un tipo di dato certo di input. $valore=(int) $_GET['valore'];

La cosa fondamentale è il controllo dell'input inserito dall'utente, ci serviremo quindi di specifiche funzioni, preferibilmente gestite lato server, e non da script javascript, per cercare di

4 $query= SELECT * from tabella WHERE input=$valore ; Ora siamo sicuri che il valore della variabile che viene passata è di tipo intero. Una funzione spesso usata per effettuare il type casting è settype(/*esempio*/$_get['valore', 'int'];) Altro metodo per controllare il tipo di valori è usare delle vere e proprie funzioni di controllo come is_int() oppure gettype(). Spesso è utile filtrare i dati di input attraverso espressioni regolari, che possono definire, ad esempio, una range di caratteri disponibili per un login; funzioni che gestiscono questo sono preg_match() e ereg(). E s p ressione r egola re, D a Wi k i pedia, l'enciclopedia libera. Le espressioni regolari sono sintassi attraverso le quali si possono rappresentare insiemi di stringhe. Gli insiemi caratterizzabili con espressioni regolari sono anche detti linguaggi regolari(e coincidono quelli generabili dalle grammatiche regolari e riconoscibili dagli automi a stati finiti). Più rigorosamente possiamo definire un'espressione regolare, a partire da un alfabeto Σ ed un insieme di simboli {+,*,(,),., } come la stringa R appartenente a (Σ {+,*,(,),., })+ tale che valga una delle seguenti operazioni 1.R = 2.R appartiene a Σ 3.R = S +T oppure R =ST oppure R =S * con S e T sono espressioni regolari sull'alfabeto Σ In questi casi si può decidere di eliminare i caratteri pericolosi o semplicemente cambiarli con altri caratteri. Funzioni che gestiscono queste operazioni sono str_replace(), preg_replace(), ereg_replace() o strtr(). In precedenza abbiamo parlato dell'escape, gestito dall'attivazione della direttiva magic_quotes_gpc; bene è da considerare il fatto che questa operazione non può essere gestita da tutte le tipologie di

controllo come is_int() oppure gettype().

5 server, e sarebbe meglio utilizzare funzioni proprie del database, come ad esempio mysql_escape_string() o mysql_real_escape string() per MySQL. Questi generi di funzioni si possono facilmente reperire sulle documentazioni delle distribuzioni di database. Concludo ricordando che questi metodi non hanno un infallibilità del 100%, ma rimangono comunque delle buone soluzioni per prevenire questi tipi di attacchi..:luxx:.

Questi generi di funzioni si possono facilmente reperire sulle documentazioni delle distribuzioni di

Documenti analoghi

Programmazione Web. Laboratorio 4: PHP e MySQL

Programmazione Web. Laboratorio 4: PHP e MySQL Programmazione Web Laboratorio 4: PHP e MySQL Lavagna elettronica (I) Un unità aziendale di decision making opera per le decisioni di tipo consueto e ripetitivo tramite la procedura seguente: un qualsiasi