Как защититься от SQL-инъекции

В настоящее время насчитывается около 200 миллионов активных веб-сайтов, и очень немногие из них состоят исключительно из статических HTML-страниц, которые были так распространены в первые годы Интернета. Большинство современных сайтов обрабатывают большое количество конфиденциальных данных с помощью сложных веб-приложений и баз данных.

Тем не менее, мы уверены, что не ошибемся, если скажем, что многие владельцы веб-сайтов не полностью осведомлены о том, что такое SQL-инъекция (или SQLi).

Цель сегодняшнего руководства — исправить это.

Состояние кибербезопасности

Современный ландшафт кибербезопасности — довольно сложное место. Масштабы атак на веб-сайты шире, чем когда-либо, и теперь более 60% населения мира подключено к Интернету, как и количество целей.

Как владелец веб-сайта, вашим приоритетом номер один должна быть безопасность вашего веб-приложения. Возможно, вы захотите услышать, что говорит организация под названием OWASP. OWASP расшифровывается как Open Web Application Security Project и представляет собой онлайн-сообщество добровольцев и экспертов, которые специализируются на оказании помощи администраторам веб-сайтов в обеспечении надежной защиты своих проектов.

Ежегодно эксперты OWASP оценивают наиболее распространенные угрозы, на которые следует обратить внимание администраторам, и довольно долгое время инъекции кода занимают первое место в этом списке.

Благодаря технологии, используемой на большинстве современных веб-сайтов, SQLi на сегодняшний день является самым популярным типом внедрения кода. По данным Akamai, компании по обеспечению безопасности, почти две трети всех атак на веб-приложения связаны с инъекциями SQL.

SQLi, конечно, не является угрозой, которую следует недооценивать, но что делает его таким уникальным?

Что такое SQL-инъекция?

Когда конечные пользователи взаимодействуют с веб-сайтом, они видят набор текстовых и мультимедийных файлов, упорядоченных и отображаемых на экране.

Однако за кулисами происходит гораздо больше.

На основе ввода пользователя веб-приложение выполняет запросы к базе данных для доступа к нужным ресурсам и отображения правильного содержимого. Например, после того, как вы введете свои учетные данные и нажмете « Войти», веб-приложение берет ваше имя пользователя и пароль и запрашивает базу данных, чтобы убедиться, что они верны. Если это так — вы можете войти в свой профиль.

SQL (сокращение от Structured Query Language ) — это язык программирования, который облегчает такое общение. Веб-приложение использует его для генерации запросов к базе данных на основе ввода данных пользователем.

В сценарии SQL-инъекции злоумышленник изменяет SQL-запросы, чтобы получить конкретный ответ от базы данных. Используя вредоносные запросы, они могут получить несанкционированный доступ к конфиденциальным данным или нарушить целостность вашей системы.

SQL-инъекция как вектор атаки была обнаружена еще в 1998 году, однако, по данным Acunetix, около 8% современных веб-сайтов все еще уязвимы для нее. Владельцам таких сайтов лучше улучшить свою конфигурацию, поскольку успешная атака SQLi может нанести большой ущерб.

Несанкционированный доступ к конфиденциальной информации, такой как учетные данные для входа, платежные реквизиты и личные данные, может иметь катастрофические последствия для любого онлайн-бизнеса. Более того, успешная SQL-инъекция может открыть бэкдоры для облегчения сложной атаки на всю организацию.

Как работают SQL-инъекции?

В отличие от других форм киберпреступности, инструменты для SQL-инъекций недоступны в свободном доступе на подпольных хакерских форумах и торговых площадках. Вариантов автоматизации процесса очень мало, а злоумышленникам требуется относительно высокий уровень технических навыков. По крайней мере, хакер должен понимать, как работают SQL-запросы.

Сначала злоумышленники идентифицируют свою цель. К счастью, поскольку угроза так хорошо известна, современные веб-приложения обычно имеют встроенную защиту SQLi в той или иной форме. Существуют также инструменты и лучшие отраслевые практики для разработчиков, которые создают веб-сайты с нуля.

К сожалению, отсутствие стандартизации и плохое управление исправлениями означают, что уязвимые веб-сайты SQLi все еще существуют. Современные сканеры уязвимостей могут быстро их идентифицировать.

Запросы, которые будут обрабатывать злоумышленники, зависят от типа базы данных и системы управления базой данных. Следующим шагом будет разведка цели.

Наконец, запускается собственно инъекция. Некоторые атаки SQLi полагаются на изменения в определенных HTTP-запросах, в то время как в других случаях злоумышленники используют веб-формы (например, страницы входа или панели поиска) для изменения запросов SQL.

Например, хакер теоретически может использовать форму входа на веб-сайт для получения прав администратора, не зная пароля администратора. Вот как это работает.

Обычно, когда администратор входит в систему, SQL-запрос, генерируемый формой входа, выглядит следующим образом:

ВЫБЕРИТЕ * ИЗ участников, ГДЕ имя пользователя = ‘admin’ И пароль = ‘[пароль администратора]’

Если злоумышленник введет « admin’– » в поле имени пользователя и оставит поле пароля пустым, запрос будет выглядеть так:

ВЫБЕРИТЕ * ИЗ участников, ГДЕ username = ‘admin ‘ — ‘AND password = »

«- помещаются сразу после Админ аннулируют остальную часть запроса, то есть база данных не будет проверять, есть ли что-нибудь в поле пароля на всех.

Вместо этого он просто регистрирует злоумышленника как администратора, и здесь начинается кошмар.

Типы SQL-инъекций

В зависимости от результатов, которые они дают, вы можете выделить несколько различных типов SQL-инъекций:

• SQL-инъекции с проверкой базы данных — часто это первый шаг в списке дел злоумышленников после того, как они идентифицируют жизнеспособную цель. Они используют созданный SQL-запрос для получения информации о базе данных, которая помогает им на следующих этапах атаки.

• SQL-инъекции с получением скрытых данных — этот тип инъекций раскрывает информацию, которая в противном случае была бы недоступна для злоумышленника. Например, одна модификация HTTP-запроса может отображать товары, не указанные в списке, на сайте электронной коммерции, уязвимом для SQLi.

• Атаки SQLi UNION — оператор UNION SQL можно использовать для объединения нескольких запросов SQL в одном операторе. В результате, изменяя SQL-запрос, злоумышленники могут заставить веб-приложение извлекать данные из частей базы данных, которые обычно остаются недоступными. Это может включать учетные данные для входа.

• SQL-инъекции, подрывающие логику приложения. Возможность вмешательства в логику веб-приложения открывает двери для различных видов преступной деятельности. Техника обхода пароля, которую мы описали в предыдущем разделе, является примером этого типа атаки.
• Слепые SQL-инъекции. Слепые SQL-инъекции намного сложнее, потому что результаты SQL-запроса не видны в ответе базы данных. Однако злоумышленники с продвинутыми техническими навыками могут использовать эти атаки, чтобы инициировать внешнее сетевое взаимодействие и облегчить быструю кражу данных.

Что делать, чтобы предотвратить атаку с использованием SQL-инъекции?

SQL-инъекции дают хакерам возможность обойти аутентификацию, украсть, изменить и повредить данные, запустить произвольный код и даже получить доступ к серверу. Обычно атаки бывают довольно быстрыми, и администраторы часто не осознают, что их нанесли, пока не становится слишком поздно.

Другими словами, вам гораздо лучше предпринять необходимые шаги для предотвращения атаки SQLi, чем пытаться собрать все воедино после того, как хакеры уже взломали ваш сайт.

Для разных проектов требуются разные методы профилактики.

Например, администраторам, использующим системы управления контентом (CMS) для создания своих веб-сайтов, не нужно вручную внедрять определенные меры защиты от SQLi. Разработчики CMS должны обеспечить своевременное исправление уязвимостей. Единственное, о чем нужно думать владельцам веб-сайтов, — это применять все обновления сразу после их выпуска.

Работа администраторов сайтов с индивидуальным кодом немного сложнее. Нет перечня обязательных мер, которые полностью устраняют угрозу. Точные действия, необходимые для исправления уязвимости, зависят от таких вещей, как используемый вами язык программирования, ядро базы данных SQL и тип уязвимости SQL, которую вы пытаетесь исправить.

Тем не менее, есть несколько советов, которым вы можете следовать, чтобы обеспечить надежную защиту своего сайта.

• Регулярно проводите аудит безопасности — сканеры уязвимостей могут относительно легко обнаруживать потенциальные дыры SQLi на вашем сайте, и у вас нет оправдания тому, что вы их не используете. Чем чаще сканирование выполняется, тем выше шансы найти и исправить уязвимости SQLi, пока не стало слишком поздно.

• Убедитесь, что вы готовы к угрозе. Если вы большая организация, обслуживающая большой веб-сайт, каждый, от специалиста по обеспечению качества до руководителя разработки, должен знать об опасностях, которые представляют собой инъекции SQL. Регулярное информирование ваших сотрудников о новых потенциальных атаках также является ключом к тому, чтобы они принимали надлежащие меры.

• Очистите все входные данные — никогда не используйте какие-либо входные данные напрямую, независимо от того, исходят ли они от аутентифицированного или общедоступного пользователя. В вашем веб-приложении также должны быть механизмы, которые очищают запросы и удаляют элементы потенциально вредоносного кода.

• Используйте проверенные и проверенные механизмы. Существуют специфичные для языка механизмы защиты приложений от SQL-инъекций. Проведите исследование и посмотрите, какие из них предлагают лучшую защиту. Использование их вместо того, чтобы вручную разрабатывать собственные методы безопасности, — гораздо лучший вариант.

• Будьте в курсе и используйте новейшие инструменты — атаки SQLi не перестают развиваться, как и механизмы, которые мы используем для защиты веб-сайтов. Если вы скрываете свой сайт за старой технологией, вы серьезно рискуете сделать его уязвимым для новейших атак с использованием SQL-инъекций.
• Разверните брандмауэр веб-приложений. Брандмауэр веб-приложений использует строгие правила для проверки и фильтрации HTTP-обменов. Он блокирует запросы, отображающие шаблоны SQLi, и является одним из самых простых способов защиты вашего веб-сайта от широкого спектра атак веб-приложений.

Роль вашего хостинг-провайдера

SQL-инъекции нацелены на веб-приложения — область, которая, строго говоря, не является приоритетом для выбранной вами хостинговой компании. Тем не менее, хороший хозяин — это больше, чем просто поставщик услуг. Это партнер, помогающий вам поддерживать бизнес в Интернете, и поэтому он сделает все, чтобы ваш сайт был максимально защищен.

Например, если ваш проект основан на CMS, у вас, скорее всего, будет установщик в один клик. В дополнение к настройке приложений, таких как WordPress, за секунды, инструмент имеет функции автоматического обновления как для ядра, так и для надстроек.

Таким образом, вы вряд ли пропустите какие-либо критические исправления безопасности.

Хороший хост поможет вам развернуть брандмауэр веб-приложений, а также будет включать в себя систему мониторинга, которая сканирует всю вашу учетную запись хостинга на предмет подозрительного поведения, информируя вас об обнаружении чего-то неправильного.

Вывод

Хотя SQL-инъекции впервые появились более двадцати лет назад, угроза по-прежнему актуальна. В мае 2020 года Министерство юстиции США обвинило хакера в использовании SQL-инъекций для кражи тысяч данных кредитных карт и другой личной информации. Спустя несколько месяцев хакеры с помощью SQLi-атаки украли более 8 миллионов записей с сайта графических ресурсов Freepik. 

Это серьезная угроза, но хорошая новость в том, что эксперты по безопасности много узнали об инъекциях SQL за эти годы. На основе этих знаний существует множество инструментов и политик, которые эффективно останавливают атаки. Вам решать, как удобнее.

Вопросы-Ответы

Почему хакеры используют SQL-инъекции?

Атаки SQLi на сегодняшний день являются самым популярным методом взлома веб-приложений. За прошедшие годы они доказали, что являются надежным вектором для сбора данных, повышения привилегий и, в некоторых случаях, получения контроля над базовым сервером и инфраструктурой цели.

Насколько распространены атаки с использованием SQL-инъекций?

OWASP выделяет SQL-инъекции как наиболее опасную угрозу веб-приложений, и, согласно Akamai, на SQLi приходится две трети всех атак на веб-приложения. Хакеры могут относительно легко определить, уязвим ли ваш сайт для SQL-инъекций. Атаки часто дают немедленные результаты, что делает их все более популярными в сообществе киберпреступников.

Почему случаются SQL-инъекции?

При атаке с использованием SQL-инъекции хакеры пользуются отсутствием механизмов защиты данных на некоторых веб-сайтах. Они используют стандартные пользовательские данные для создания вредоносных SQL-запросов и получения неожиданного ответа из базы данных, что дает им несанкционированный доступ к данным сайта.