Базы данных: мегабайты удовольствия
Как ломается SQL
Xakep, номер #040, стр. 040-066-1
VOY (voy@satanic.com)
Абсолютно безопасных систем не бывает. Это же касается и баз данных. Но зачем напрягаться, компилируя кучу эксплоитов, и, почесывая лысину, искать ошибки по всему компьютеру, на котором и хранится база данных, если можно совершить взлом, используя только внутренние возможности сервера базы данных. И такая техника взлома называется SQL Injection. Об этом и поговорим.
Это просто
При словах "База данных" у многих людей в первую очередь возникают ассоциации с вшивыми бородатыми программистами, ваяющими программы для всяких мелких контор. Да и вообще, бытует мнение, что БД - редкая вещь, которая используется разными извращенцами для своих извращенческих нужд. Это не так. Базы данных в Интернете используются повсеместно, хранится в них все что угодно, начиная от сообщений в гостевой книге и заканчивая номерами кредитных карт. Но раз есть базы данных, значит - есть и ошибки в них.
Самое интересное: когда программисты пишут cgi-приложения, то в основном делают упор на безопасность работы именно самого приложения (т.е. чтобы не было всяких там \..\ и прочих морально устаревших глюков), но, как показывают статистические исследования, пока мало кто обращает внимание на безопасность обмена информацией между приложением и базой данных. Если подумать глобально, то эту информацию можно перехватить только используя снифферы, но в 99% процентах случаев возможности установить их на атакуемой машине нет.
И не надо сейчас расстраиваться, речь пойдет вовсе не о снифферах, разговор будет обо всех странных возможностях серверов баз данных, позволяющих получить любую информацию на атакуемой машине (да-да, ты узнаешь, какого цвета админ носит трусы :). Рассматривать все возможности всех типов баз данных в одной статье просто теоретически невозможно, и поэтому я остановлюсь на самом популярном типе БД - SQL.
Сама SQL имеет длинную историю и огромное количество фенечек, фишечек и прибамбасов, и о всех них не знают даже сами разработчики SQL (файл changelog в дистрибутиве весит 130 кб). Но чаще всего о них не знают горе-программисты, пишущие приложения для работы с такой базой данных.
По статистике в Интернете около 60% приложений, работающих с различного рода БД, подвержены атакам, позволяющим модифицировать запрос к БД и заставить ее работать не совсем корректно. И этот класс атак называется SQL Injection атаками. Эта уязвимость не просто повсеместно распространена, она есть даже в таких неприступных крепостях, как серверы статистики многих провайдеров - у одного крупного воронежского прова эта уязвимость не просто есть, она у него в классическом виде, именно в таком, в каком ее использовать сможет абсолютно любой человек. (Оффтопик: Да, дибилизм - это заразно. Мало того, что у него дырявая база данных, так у него еще и НТ четвертая вместе со всеми примерами и сэмплами поставлена. Не знаю, лечится ли это, но в данном случае скорее всего - нет.)
Действуем
Ну да ладно, немного я увлекся. Для проверки приложения на вшивость (например, скрипта какого-нибудь онлайн-магазина) сначала корректно заполни все поля для ввода, а потом по очереди подставляй в конец каждого поля кавычку ('). Если после отправки заполненной таким корявым образом формы на сервер тебе выпрыгнет сообщение об ошибке
