SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Criptografía y Seguridad Informática.

Tamaño: px

Comenzar la demostración a partir de la página:

Download "SQL INJECTION. Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián. 66.69 Criptografía y Seguridad Informática."

1 SQL INJECTION Benitez, Marcelo Chinikailo, Cristian De la Cruz, Leonardo Klas, Julián Grupo Criptografía y Seguridad Informática

2 Introducción 2 Ataque basado en inyección de código Explota omisiones en la verificación de parámetros Ataques relacionados Cross-Site Scripting Buffer Overflow File Includes

3 Requerimientos para el ataque 3 Conocimientos técnicos Obligatorios Lenguaje SQL Opcionales Conocimiento del DBMS PHP HTTP y lenguaje C (ataques sin browser) Conocimientos acerca de la víctima Consulta a ser explotada Tablas de la base de datos DBMS en uso

4 Análisis del Problema 4 En las aplicaciones basadas en web el usuario ingresa datos mediante formularios Los datos se envían a un script que construye una consulta SQL usando los datos ingresados Cuando los parámetros no se validan, se pueden utilizar consultas legales para ejecutar acciones arbitrarias sobre una Base de Datos

5 Ejemplo: Login (codigo HTML) 5 <html> <body> <form name="frmsistema" method="post" action="login.php"> <input type="text" name="username" value="usuario"/> <input type="text" name="password" value="password"/> <input value="ingresar" type="submit"/> </form> </body> </html>

6 Ejemplo: Login (codigo HTML) 6 Internet Explorer SQL Injection Usuario Password Ingresar

7 Ejemplo: Login (código PHP) 7 $username = isset($_request['username'])?$_request['username']:""; $password = isset($_request['password'])?$_request['password']:""; $_dbhandler = mysql_connect("localhost", "root", "clavecita",true); $_connected = mysql_select_db("fiuba", $_dbhandler); $sql_query = "SELECT * FROM user WHERE username='".$username."' AND password='".$password."'"; $query_result = mysql_query($sql_query,$_dbhandler); $row = mysql_fetch_array($query_result); if(count($row)>1) { print "El nombre de usuario $username es Valido. Bienvenido al Sistema"; }

8 Ejemplo: Ataque SQL Injection 8 El atacante ingresa una cadena maliciosa en el cuadro password Esta cadena se expande en el código PHP generando una consulta maliciosa

9 Otros ataques posibles 9 Otras sentencias SQL (borra la tabla de usuarios) SELECT * FROM user_table WHERE username= user01 AND password= pass01 ; DROP TABLE user_table; ; Uso del catálogo del DBMS (Ejemplo: MySQL) SHOW DATABASES; SHOW TABLES; SHOW TABLES LIKE 'geo%'; SHOW TABLES FROM db_bame;

10 Protección contra el ataque 10 (cont.) Validación: uso de expresiones regulares Para el ejemplo que vimos en PHP: preg_match("/^[a-za-z0-9-_.]{3,16}$/", $username); preg_match("/^[a-za-z0-9-_.]{3,16}$/", $password);

11 Protección contra el ataque 11 Los lenguajes incluyen filtros específicos para validar cadenas PHP: mysql_real_escape_string() Java: Clase PreparedStatement Hay ejemplos en.net, etc.

12 Protección contra el ataque 12 (cont.) Se puede configurar el Apache para que limpie las cadenas que pasa al módulo PHP: Directiva magic_quotes_gpc en php.ini Los caracteres ' (comilla-simple), " (comilla doble), \ (barra invertida) y NULs son escapados con una barra invertida automáticamente.

13 Protección contra el ataque 13 (cont.) Otras Best Practices 8 Evitar SQL Dinámico (usar Stored Procedures) 8 Ejecutar consultas sin privilegios 8 Guardar datos cifrados (caso de los passwords)

14 : ción Login ostra Dem 1 14 Descripción Inyección de código en formulario de registro Se ve la prevención utilizando: mysql_real_escape_string() Expresiones Regulares magic_quotes_gpc

15 Demostración 2: Drop table 15 Descripción Inyección de código en formulario de registro El ataque permite borrar tablas de la base de datos

16 Ejemplo de ataque desde 16 C/C++ Basado en exploit publicado en SecurityReason.org char str_exploit="post /phpnuke/html/ HTTP/1.0\n" "Connection: Keep-Alive\n" "Pragma: no-cache\n" "Cache-control: no-cache\n" "Accept: text/html, image/jpeg, image/png, text/*, image/*, */*\n" "Accept-Encoding: x-gzip, x-deflate, gzip, deflate, identity\n" "Accept-Charset: iso , utf-8;q=0.5, *;q=0.5\n" "Accept-Language: en\n" "Host: "Referer: user\n" "User-Agent: SecurityReason - [SR]\n... ; void exploit() { int sock=tcp_open_activo(url_server,80); // conecta al servidor FILE * conexion=fdopen(sock, a ); fprintf(conexion,str_exploit); grabar_respuesta(conexión,stdout); }

17 Demostración 2: POST desde 17 PERL Descripción Ataque automatizado que no puede ser realizado desde el navegador Utiliza sentencias SQL adicionales (UNION) Muestra ventajas de conocer la estructura de las tablas

18 Demostración 3: Ataque a 18 phpnuke Descripción Ataque a portal phpnuke mediante el formulario de registro

19 19 Ejemplo: Ataque a phpnuke

20 Ejemplo: Ataque a phpnuke

21 Víctimas conocidas y 21 potenciales Content Management Systems (CMS) phpnuke (portal) Mambo (portal) phpbb (foros) Sistemas basados en web: JSP, ASP.NET, PHP, etc. consultas.fi.uba.ar (listas.fi.uba.ar/pipermail/iinfo/2006-march/ html) Sistemas generales Microsoft BizTalk Server 2002 (

Documentos relacionados

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas. SEGURIDAD INFORMATICA Tema: Mysql Injection

UNIVERSIDAD TECNICA DE MANABI Facultad de Ciencias Informáticas Ingeniería en sistemas SEGURIDAD INFORMATICA Tema: Mysql Injection Autora: Doris María Mera Mero Curso: 7mo A Fecha: Martes 30 de Julio del