Wie um zu überprüfen, ob es SQL-injection-Schwachstelle PROGRAMMGESTEUERT?

Sehe ich einige hack-tools können web-Seiten mit SQL-injection-Schwachstelle AUTOMATISCH.

Wie funktioniert es?

InformationsquelleAutor jxu | 2011-02-08
  1. 1

    In der Regel kann man eine Vermutung über die SQL-code-Struktur, um zu erlauben, die Injektion.

    Beispielsweise, die mit einer anfälligen Benutzername/Passwort-Bestätigungs-code, wird es in den meisten Fällen so etwas wie:

    select count(*) from users where username=@username and password=@password;

    so der hacker wird versuchen, Sie zu injizieren, so etwas wie: 

    @username=" 'blabla' or 1=1  "
@password=" 'blabla' or 1=1  "

    also das Ergebnis wäre, dass count(*) wird > 0, also login akzeptiert.

    • Aber vulnerability discovery tools(nicht der Mensch) kann nicht ausgeführt werden SQL direkt,es können nur Anfragen an den web-server,wie Sie wissen, ob eine Injektion fehlschlägt oder nicht?
    • der hacker hat kreativ zu sein. Zum Beispiel, wenn in der Antwort-Seite gibt es nicht mehr das "login" - textbox, es bedeutet, dass der hack gelungen ist. Die "vulnerability discovery tools" funktionieren ähnlich wie ein hacker, und Sie können nicht alle Szenarien.
    • Aber als ein Werkzeug,es weiß nie, ob eine Seite einen login-Seite oder nicht.
    • warum nicht ?
    • Auch die Sicherheitsanfälligkeit kann auftreten, in alle Seiten,nicht nur die login-Seite.Ich bin auf der Suche nach einer Allgemeinen Antwort....
    InformationsquelleAutor Nir O.
  2. 0

    Einen einfachen test können Sie einfach legen Sie ein einfaches Anführungszeichen in das Eingabefeld ein und sehen, wenn Sie eine mysql-Fehlermeldung zurück.

    Wenn Sie etwas bekommen wie " Sie haben einen Fehler in Ihrer SQL-syntax; Lesen Sie im Handbuch, das entspricht Ihrer MySQL-server-version für den richtigen syntax zur Verwendung in der Nähe ""' at line 1 '

    oder wenn Sie eine php/mysql-Fehler (das könnte wahrscheinlich werden programmgesteuert erkannt durch die Formatierung oder die häufige Fehlermeldung), dann sollte man auch wissen, Sie haben eine injection-Schwachstelle.

    Wenn Sie nur eine generische " keine solche Benutzernamen oder ein gültiges leeres ResultSet zurück, dann werden Sie wahrscheinlich nicht haben eine injection-Schwachstelle.

    • Dies ist NICHT programmatischen...Und es wird nie funktionieren, wenn Fehlermeldungen werden nicht angezeigt.
    • >Das ist NICHT programmatischen. Sicher, es ist. foreach input-Feld auf Seite: 1)nach der form mit "\'" als Wert. 2)wenn( found_php_or_mysql_error()): dann haben wir eine Schwachstelle, -- found_php_or_mysql_error() implementiert werden konnte, mit einigen einfachen regexes
    • So basiert er auf, dass die Fehlermeldungen direkt ausgegeben wird?
    • ja, viele Website programmiert in php (und anderen Sprachen interpretiert) wird noch die Ausgabe der Fehlermeldungen im html -, auch in einer Produktionsumgebung. Dies ist schlechte aus Sicht der Sicherheit. Wenn Sie schon unterdrückt Warnungen und Fehler, als es gibt Ihnen eine viel weniger zu arbeiten.
    InformationsquelleAutor Varx
  3. 0

    Viele dieser tools eine Liste der Parameter, die bekannt sind, zu brechen, web-Seiten. Feuern Sie diesen Parameter aus, die in mehreren requestsm einsetzen der Parameter in:

    1. Formularfelder
    2. die GET-URL
    3. HTTP-Header

    Ihre Werkzeuge werden in der Regel Spinne die Website, um sicherzustellen, Sie sind zu schlagen, so viel von der Website wie möglich.

    Einer der knifflige bit ist die Bestimmung, wenn Sie gefunden haben, eine verwertbare web-Seite. In manchen Fällen ist der web-server länger dauern kann, um retuen der Seite, oder bestimmte Teile der Seite könnte etwas anders sein. Dinge zu prüfen:

    1. HTTP-Response-Codes ("500 server error" wahrscheinlich bedeutet, dass SQL ist ungültig)
    2. Größe der zurückgegebenen Seite
    3. Zeit genommen für die Seite, um zurückzukehren

    Nachdem alles gesagt, dass, wenn Sie tatsächlich Zugriff auf die Website der source-code, den Sie verwenden können, statische Analyse Techniken, um den Blick für Schwachstellen.

    • Können Sie näher auf die Bestimmung, wenn Sie gefunden haben, eine verwertbare web-Seite PROGRAMMGESTEUERT?
    InformationsquelleAutor Jimmy
Schreibe einen Kommentar