{"id":35684,"date":"2020-01-22T02:06:33","date_gmt":"2020-01-22T01:06:33","guid":{"rendered":"https:\/\/kinsta.com\/?p=62827"},"modified":"2023-08-24T13:46:27","modified_gmt":"2023-08-24T12:46:27","slug":"sql-injection","status":"publish","type":"post","link":"https:\/\/kinsta.com\/dk\/blog\/sql-injection\/","title":{"rendered":"SQL Injection: En Begyndervejledning til WordPress-brugere"},"content":{"rendered":"

SQL (Structured Query Language) er et sprog, der giver os mulighed for at interagere med databaser<\/a>. Moderne webapplikationer bruger databaser til at administrere data og vise dynamisk indhold til l\u00e6sere.<\/p>\n

SQL-injection eller SQLi er et angreb p\u00e5 en webapplikation der kan kompromittere dens database gennem ondsindede SQL-s\u00e6tninger.<\/p>\n

Da det er et almindeligt angreb, s\u00e5 lad os pr\u00f8ve at l\u00e6re mere om, hvad det er, hvordan det sker og hvordan man kan forsvare sig mod det.<\/p>\n

Parat? Lad os dykke ned!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Hvad er SQL-injection?<\/h2>\n

SQL-injection, eller SQLi, er en type angreb p\u00e5 en webapplikation, der g\u00f8r det muligt for en angriber at inds\u00e6tte ondsindede SQL-udsagn i webapplikationen, potentielt for at f\u00e5 adgang til f\u00f8lsomme data i databasen eller \u00f8del\u00e6gge disse data. SQL-injection blev f\u00f8rst opdaget af Jeff Forristal i 1998.<\/p>\n

I de to \u00e5rtier siden dens opdagelse har SQL-injection konsekvent v\u00e6ret h\u00f8jt prioriteret hos webudviklere<\/a>, n\u00e5r de designer applikationer.<\/p>\n

Barclaycard estimerede i 2012, at 97% af dataovertr\u00e6delser indleder med et SQL-injectionsangreb<\/a>. En SQL-injection er udbredt selv i dag, og sv\u00e6rhedsgraden af \u200b\u200binjectionsangreb i en webapplikation anerkendes vidt. Det er en af \u200b\u200bde ti mest kritiske sikkerhedsrisici for webapplikatione<\/a>r af OWASP.<\/p>\n

Hvordan Fungerer SQL-injection s\u00e5rbarheden?<\/h2>\n

En SQL-injection s\u00e5rbarhed giver en angriber fuld adgang til din applikations database ved hj\u00e6lp af ondsindede SQL-s\u00e6tninger.<\/p>\n

I dette afsnit deler vi et eksempel p\u00e5, hvordan en s\u00e5rbar applikation ser ud.<\/p>\n

Forestil dig arbejdsgangen til en typisk webapplikation, der involverer databaseanmodninger gennem brugerindgange. Du f\u00f8rer brugerinput gennem en formular, lad os sige en loginformular<\/a>. Derefter foresp\u00f8rges din database med de felter, der er indsendt af brugeren for at godkende dem. Strukturen af \u200b\u200bforesp\u00f8rgslen til din database er s\u00e5dan noget som dette:<\/p>\n

select * from user_table\nwhere\u00a0username = 'sdaityari'\nand\u00a0password = 'mypassword';\n<\/code><\/pre>\n
Lad os antage, at du gemmer dine adgangskoder som klar tekst for at g\u00f8re det lettere. Det er dog en god praksis at salte dine passwords<\/a> og derefter lave hashing p\u00e5 dem. Hvis du g\u00e5r videre, hvis du har modtaget brugernavn og adgangskode fra formularen, kan du definere foresp\u00f8rgslen i PHP som f\u00f8lger:<\/p>\n
\/\/ Connect to SQL database\n$db_query = \"select * from user_table where\nusername = '\".$user.\"'\nAND password = '\".$password.\"';\";\n\/\/ Execute query\n<\/code><\/pre>\n
Hvis nogen indtaster v\u00e6rdien “admin”;-“i brugernavnfeltet, vil den resulterende SQL-foresp\u00f8rgsel, som variablen $db_query genererer, v\u00e6re som f\u00f8lger:<\/p>\n
select * from user_table where\nusername = 'admin';--' and password = 'mypassword'\n<\/code><\/pre>\n
Hvad g\u00f8r denne foresp\u00f8rgsel?<\/p>\n
En kommentar i SQL starter med dobbelt streger (-). Den resulterende foresp\u00f8rgsel filtrerer kun efter brugernavnet uden at tage hensyn til adgangskoden. Hvis der ikke var nogen sikkerhed p\u00e5 plads for at undg\u00e5 dette, ville du simpelthen f\u00e5 administrativ adgang til webapplikationen bare ved at bruge dette trick.<\/p>\n
Alternativt kan et boolesk angreb ogs\u00e5 bruges i dette eksempel til at f\u00e5 adgang. Hvis en angriber angiver “adgangskode” eller 1=1; – “i adgangskodefeltet, vil den resulterende foresp\u00f8rgsel v\u00e6re som f\u00f8lger:<\/p>\n
select * from user_table where\nusername = 'admin' and\npassword = 'password' or 1=1;--';\n<\/code><\/pre>\n
I dette tilf\u00e6lde, selvom din adgangskode er forkert, vil du blive godkendt til applikationen. Hvis din webside viser resultaterne af databaseforesp\u00f8rgslen, kan en hacker bruge kommandoshowtabellerne, kommando til at vise tabellerne i databasen og derefter selektivt droppe tabeller, hvis de \u00f8nsker det.<\/p>\n
\"En
En tegneserie om SQL-injection (billedekilde: XKCD<\/a>)<\/figcaption><\/figure>\n
Exploits of a Mom, en popul\u00e6r tegneserie af XKCD, viser samtalen med en mor med sin s\u00f8ns skole, hvor hun bliver spurgt, om hun virkelig kaldte sin s\u00f8n “Robert\u2019); DROP TABEL Students; -\u201d.<\/p>\n
Typer af SQL-injection<\/h2>\n
Nu hvor du kender det grundl\u00e6ggende ved en SQL-injectionss\u00e5rbarhed, lad os unders\u00f8ge de forskellige typer SQL-injectionsangreb og \u00e5rsagen bag hver af dem.<\/p>\n
In-Band SQL-injection<\/h3>\n
In-Band SQL-injection er den enkleste form for SQL-injection. I denne proces er angriberen i stand til at bruge den samme kanal til at inds\u00e6tte den ondsindede SQL-kode i applikationen samt indsamle resultaterne. Vi vil diskutere to former for in-band SQL-injectionsangreb:<\/p>\n
Error Based Attack<\/h4>\n
En angriber bruger en error based SQL-injectionsteknik i de indledende faser af deres angreb. Ideen bag en error based SQL-injection er at f\u00e5 yderligere oplysninger om databasestrukturen og error based, som webapplikationen f\u00f8lger. For eksempel kan en fejlmeddelelse indeholde error based inkluderet i tabellens foresp\u00f8rgsel og kolonne. Disse data kan derefter bruges til at oprette nye angreb.<\/p>\n
Union-based Angreb<\/h4>\n
I denne metode deltager en angriber, der bruger SQL union til at vise resultaterne fra en anden tabel. Hvis en angriber f.eks. er p\u00e5 en s\u00f8geside<\/a>, kan de muligvis tilf\u00f8je resultaterne fra en anden tabel.<\/p>\n
select title, link from post_table\nwhere id < 10\nunion\nselect username, password\nfrom user_table; --;\n<\/code><\/pre>\n
Inferential SQL-injection (Blind SQL-injection)<\/h3>\n
Selv hvis en hacker genererer en fejl i SQL-foresp\u00f8rgslen, sendes svaret p\u00e5 foresp\u00f8rgslen muligvis ikke direkte til websiden. I et s\u00e5dant tilf\u00e6lde skal angriberen unders\u00f8ge yderligere.<\/p>\n
I denne form for SQL-injection sender angriberen forskellige foresp\u00f8rgsler til databasen for at vurdere, hvordan applikationen analyserer disse svar. En inferential SQL-injection er undertiden ogs\u00e5 kendt som blind SQL-injection<\/strong>. Vi vil se p\u00e5 to slags inferentielle SQL-injections nedenfor: boolsk SQL-injection og tidsbaseret SQL-injection.<\/p>\n
Boolean Attack<\/h4>\n
Hvis en SQL-foresp\u00f8rgsel resulterer i en fejl, der ikke er blevet h\u00e5ndteret internt i applikationen, kan den resulterende webside muligvis kaste en fejl, indl\u00e6se en tom side eller indl\u00e6se delvist. I en boolean SQL-injection vurderer en angriber, hvilke dele af en brugers input er s\u00e5rbare over for SQL-injectios ved at pr\u00f8ve to forskellige versioner af en boolean clause gennem input:<\/p>\n