एसक्यूएल इंजेक्शन भेद्यता के लिए परीक्षण

एसक्यूएल इंजेक्शन हमलों ने वेब अनुप्रयोगों के लिए जबरदस्त जोखिम पैदा किए हैं जो गतिशील सामग्री उत्पन्न करने के लिए डेटाबेस बैकएंड पर निर्भर करते हैं। इस प्रकार के हमले में, हैकर्स डेटाबेस द्वारा जारी किए गए अपने स्वयं के एसक्यूएल कमांड इंजेक्ट करने के प्रयास में एक वेब एप्लिकेशन में हेरफेर करते हैं। उदाहरण के लिए, डेटाबेस पर SQL इंजेक्शन अटैक आलेख देखें। इस आलेख में, हम यह निर्धारित करने के लिए अपने वेब अनुप्रयोगों का परीक्षण करने के कई तरीकों पर एक नज़र डालें कि वे SQL इंजेक्शन हमलों के लिए कमजोर हैं या नहीं।

स्वचालित एसक्यूएल इंजेक्शन स्कैनिंग

एक संभावना एक स्वचालित वेब अनुप्रयोग भेद्यता स्कैनर का उपयोग कर रही है, जैसे एचपी के वेब इंस्पेक्ट, आईबीएम के ऐपस्कैन या सेन्ज़िक के हेल्स्टॉर्म। ये टूल संभावित SQL इंजेक्शन भेद्यता के लिए आपके वेब अनुप्रयोगों का विश्लेषण करने के लिए आसान, स्वचालित तरीके प्रदान करते हैं। हालांकि, वे काफी महंगा हैं, प्रति सीट $ 25,000 तक चल रहे हैं।

मैनुअल एसक्यूएल इंजेक्शन टेस्ट

करने के लिए एक गरीब अनुप्रयोग डेवलपर क्या है? आप वास्तव में वेब ब्राउज़र से अधिक कुछ भी नहीं उपयोग करके SQL इंजेक्शन भेद्यता के लिए अपने वेब अनुप्रयोगों का मूल्यांकन करने के लिए कुछ बुनियादी परीक्षण चला सकते हैं। सबसे पहले, सावधानी का एक शब्द: हमारे द्वारा वर्णित परीक्षण केवल मूल एसक्यूएल इंजेक्शन त्रुटियों की तलाश करते हैं। वे उन्नत तकनीकों का पता नहीं लगाएंगे और उपयोग करने के लिए कुछ हद तक कठिन हैं। यदि आप इसे बर्दाश्त कर सकते हैं, तो स्वचालित स्कैनर के साथ जाएं। हालांकि, अगर आप उस मूल्य टैग को संभाल नहीं सकते हैं, तो मैन्युअल परीक्षण एक महान पहला कदम है।यह मूल्यांकन करने का सबसे आसान तरीका है कि कोई एप्लिकेशन कमजोर है या नहीं, निर्दोष इंजेक्शन हमलों के साथ प्रयोग करना है जो वास्तव में आपके डेटाबेस को नुकसान पहुंचाएगा यदि वे सफल होते हैं लेकिन आपको सबूत प्रदान करेंगे कि आपको किसी समस्या को ठीक करने की आवश्यकता है। उदाहरण के लिए, मान लें कि आपके पास एक साधारण वेब एप्लिकेशन था जो डेटाबेस में एक व्यक्ति को देखता है और परिणामस्वरूप संपर्क जानकारी प्रदान करता है। वह पृष्ठ निम्न यूआरएल प्रारूप का उपयोग कर सकता है:

http://myfakewebsite.com/directory.asp?lastname=chapple&firstname=mike

हम मान सकते हैं कि यह पृष्ठ निम्न के जैसा क्वेरी का उपयोग करके डेटाबेस लुकअप करता है:

फोन चुनें

निर्देशिका से

अंतिम नाम = 'चैपल' और प्रथम नाम = 'माइक'

आइए इसका थोड़ा सा प्रयोग करें। उपरोक्त हमारी धारणा के साथ, हम यूआरएल में एक साधारण परिवर्तन कर सकते हैं जो एसक्यूएल इंजेक्शन हमलों के लिए परीक्षण करता है:

http://myfakewebsite.com/directory.asp?lastname=chapple&firstname=mike'+AND+(select+count(*)+from+fake)+%3e0+OR+'1'%3d'1

यदि वेब एप्लिकेशन को SQL इंजेक्शन के विरुद्ध ठीक तरह से संरक्षित नहीं किया गया है, तो यह डेटाबेस के विरुद्ध निष्पादित SQL कथन में यह नकली पहला नाम प्लग करता है, जिसके परिणामस्वरूप:

फोन चुनें

निर्देशिका से

अंतिम नाम = 'चैपल' और प्रथम नाम = 'माइक'

और (नकली से गिनती (*) का चयन करें)> 0

या '1' = '1'

आप देखेंगे कि उपरोक्त वाक्यविन्यास मूल URL में उससे थोड़ा अलग है। हमने यूआरएल-एनकोडेड वेरिएबल को अपने एएससीआईआई समकक्षों के लिए कनवर्ट करने की स्वतंत्रता ली है ताकि उदाहरण का पालन करना आसान हो सके। उदाहरण के लिए,% 3 डी '=' वर्ण के लिए यूआरएल-एन्कोडिंग है। हमने इसी तरह के उद्देश्यों के लिए कुछ लाइन ब्रेक भी जोड़े।

परिणामों का मूल्यांकन

परीक्षण तब आता है जब आप ऊपर सूचीबद्ध यूआरएल के साथ वेबपृष्ठ लोड करने का प्रयास करते हैं। यदि वेब एप्लिकेशन अच्छी तरह से व्यवहार किया जाता है, तो यह डेटाबेस से क्वेरी पास करने से पहले इनपुट से एकल उद्धरण को हटा देगा। इसका परिणाम केवल पहले नाम वाले किसी व्यक्ति के लिए अजीब लुकअप होगा जिसमें SQL का समूह शामिल होगा। आपको नीचे दिए गए एप्लिकेशन के समान एप्लिकेशन से एक त्रुटि संदेश दिखाई देगा:

त्रुटि: कोई उपयोगकर्ता नाम माइक + और + के साथ नहीं मिला (+ नकली (*) + + नकली से + + 3e0 + या + 1% 3 डी 1

चैपल!

दूसरी तरफ, यदि एप्लिकेशन एसक्यूएल इंजेक्शन के लिए कमजोर है, तो यह सीधे डेटाबेस में कथन पास करेगा, जिसके परिणामस्वरूप दो संभावनाओं में से एक होगा। सबसे पहले, यदि आपके सर्वर में विस्तृत त्रुटि संदेश सक्षम हैं (जो आपको नहीं करना चाहिए), तो आप इस तरह कुछ देखेंगे:

ओडीबीसी ड्राइवर्स त्रुटि '80040e37' के लिए माइक्रोसॉफ्ट ओएलई डीबी प्रदाता

माइक्रोसॉफ्ट ओडीबीसी एसक्यूएल सर्वर चालक एसक्यूएल सर्वर अवैध ऑब्जेक्ट नाम 'नकली'।

/directory.asp, लाइन 13

दूसरी तरफ, यदि आपका वेब सर्वर विस्तृत त्रुटि संदेशों को प्रदर्शित नहीं करता है, तो आपको एक और सामान्य त्रुटि मिल जाएगी, जैसे कि:

आंतरिक सर्वर त्रुटिसर्वर को एक आंतरिक त्रुटि या गलत कॉन्फ़िगरेशन का सामना करना पड़ा और आपका अनुरोध पूरा करने में असमर्थ था।

त्रुटि के समय और आपके द्वारा किए गए किसी भी काम के बारे में सूचित करने के लिए कृपया सर्वर व्यवस्थापक से संपर्क करें जिससे त्रुटि हो सकती है।

इस त्रुटि के बारे में अधिक जानकारी सर्वर त्रुटि लॉग में उपलब्ध हो सकती है।

यदि आप ऊपर दी गई दो त्रुटियों में से एक प्राप्त करते हैं, तो आपका एप्लिकेशन SQL इंजेक्शन हमले के लिए कमजोर है। एसक्यूएल इंजेक्शन हमलों के खिलाफ आपके अनुप्रयोगों की सुरक्षा के लिए आप जो कुछ कदम उठा सकते हैं उनमें शामिल हैं:

• सभी अनुप्रयोगों पर पैरामीटर जांच लागू करें। उदाहरण के लिए, यदि आप किसी को ग्राहक नंबर दर्ज करने के लिए कह रहे हैं, तो सुनिश्चित करें कि क्वेरी निष्पादित करने से पहले इनपुट संख्यात्मक है।
• SQL क्वेरी निष्पादित करने वाले खाते की अनुमतियों को सीमित करें। कम से कम विशेषाधिकार का नियम लागू होता है। यदि क्वेरी निष्पादित करने के लिए उपयोग किए गए खाते को निष्पादित करने की अनुमति नहीं है, तो यह सफल नहीं होगा।
• उपयोगकर्ताओं को SQL कोड के साथ सीधे बातचीत करने से रोकने के लिए संग्रहीत प्रक्रियाओं (या समान तकनीकों) का उपयोग करें।