IKT

SQL injection – zakaj so to nevarne injekcije za spletne aplikacije

Injiciranje SQL-stavkov (SQL injection) med varnostnimi strokovnjaki velja za amatersko napadalno tehniko, vendar kljub temu vsako leto spravi na kolena lepo število spletnih aplikacij in storitev, njihove snovalce pa v zadrego

Podporniki obveščajo

FINANCE
IKT
Digitalna dostopnost bo sredi leta 2025 postala zakonska obveza – kaj to pomeni za podjetja?
IKT
DIGITALNA DOSTOPNOST
IKTRedakcija IKT Digitalna dostopnost bo sredi leta 2025 postala zakonska obveza – kaj to pomeni za podjetja?

Več o tem boste izvedeli na brezplačnem izobraževanju, ki ga organizira Zavod za digitalno dostopnost A11Y.si.

FINANCE
IKT
Kako je videti virtualni pomočnik za podjetniška okolja
IKT
ADD KONFERENCA
IKTPodpornik projekta Kako je videti virtualni pomočnik za podjetniška okolja

To boste lahko izvedeli na letni konferenci podjetja ADD, na kateri bodo govorili tudi o novi regulativi, ki bo krojila nadaljnji razvoj, ter o podatkih in umetni inteligenci.

FINANCE
IKT
Slovenski Kontron lansiral zasebno mobilno omrežje 5G v nemški proizvodnji
IKT
ZASEBNA 5G OMREŽJA
IKTPodpornik projekta Slovenski Kontron lansiral zasebno mobilno omrežje 5G v nemški proizvodnji

Gre za naložbo v robustno omrežno infrastrukturo, ki je pripravljena na prihodnost in podpira trenutne in prihodnje potrebe po brezžični povezljivosti v proizvodnji in skladišču

FINANCE
IKT
Kako bodo s pomočjo umetne inteligence preprečili izumrtje atlantskega lososa na Norveškem
IKT
NAGRADA ZA INOVACIJO
IKTPodpornik projekta Kako bodo s pomočjo umetne inteligence preprečili izumrtje atlantskega lososa na Norveškem

Rešitev je v okviru pobude Tech4Aall razvil Huawei skupaj z lokalnimi partnerji

FINANCE
IKT
Poziv za obnovo pravil enotnega digitalnega trga
IKT
DIGITALNI TRG
IKTPodpornik projekta Poziv za obnovo pravil enotnega digitalnega trga

Digitalno preobrazbo tradicionalnih industrij bi bilo treba voditi z jasnimi pravili za dostop in delitev podatkov

Avtor
avtor
10.06.2018 21:00
Čas branja: 3 min

Tehnika napada z injiciranjem SQL-stavkov izkorišča dejstvo, da je praktično vsaka spletna aplikacija povezana s spletno ali zaledno bazo podatkov in z njo komunicira. Napadalec pa želi spletno rešitev pretentati tako, da v različna vnosna polja vstavi prilagojene ukaze, s katerimi poskuša doseči, da mu bo aplikacija izpisala podatke, ki jih je z ukazom zahteval od podatkovne baze. S tem lahko napadalec precej elegantno in neposredno pride do podatkov, do katerih sicer ne bi mogel oziroma smel, in v nadaljevanju morebiti kakšne podatke tudi spremeni. To pa je očitno resna težava.

Povej mi vse, kar veš

Kako deluje napad z injiciranjem SQL-stavkov? Poglejmo si preprost primer. Aplikacija vsebuje podatke o različnih uporabnikih. Uporabnik lahko prek aplikacije dostopa do skritih podatkov o uporabniku, a le pod pogojem, da v aplikacijo vpiše ustrezno uporabniško ime in geslo.

Recimo, da so podatki, shranjeni v bazi podatkov, v naslednji obliki:

Ko se v aplikacijo prijavi uporabnik Bojan, vnese svoje geslo (Geslo1), aplikacija pa mu vrne vsebino polja »Skriti podatki123«. Logika delovanja aplikacije je taka, da od uporabnika najprej pridobi uporabniško ime in geslo, nato pa podatkovni bazi pošlje naslednji zahtevek:

Vrni mi vrednost polja »podatki« za vse ID-je, kjer je uporabnik=vpisan_uporabnik IN geslo=vpisano_geslo

Ta zahtevek podatkovni bazi ukaže, da v svoji tabeli primerja vpisane podatke oziroma vrne podatek »Skriti podatki« za vse vrstice, kjer se vpisano uporabniško ime IN geslo ujemata z zapisom v bazi.

Napadalec pa lahko s preprostim popravkom uporabniškega imena in gesla pretenta aplikacijo:

Vrni mi vrednost polja »podatki« za vse ID-je, kjer je uporabnik=blabla ALI 1=1 ALI a='IN geslo=' ALI blabla=1

Podatkovna baza tak ukaz zdaj razume drugače, kot si to predstavlja aplikacija. Del ukaza, kjer je bil prej izraz IN, je zdaj vstavljen med narekovaje, zato ga bo baza privzela kot vrednost parametra, ukaze ALI iz vpisanih parametrov pa bo privzela kot ločnico med posameznimi pogoji.

Rezultat? Baza se bo zdaj »sprehodila« po vseh uporabnikih in pri vsakem posebej preverila, ali so izpolnjeni pogoji za vračilo podatkov. Ker je napadalec podatke zvito vpisal tako, da bo drugi pogoj vedno izpolnjen in je med pogoji izraz ALI in ne več IN, bo baza aplikaciji vrnila vrednosti »Skriti podatki« vseh uporabnikov!

»Ključni vidik te ranljivosti je, da podatkovna baza drugače razume ukaze, kot pa si jih predstavlja aplikacija. Prav zato bi morali programerji spletnih aplikacij z ustreznimi mehanizmi ustrezno zavarovati svoje aplikacije pred napadi z injiciranjem SQL-stavkov. Gre za nekakšno osebno higieno v svetu programiranja,« pojasnjuje Vladimir Ban, strokovnjak za kibernetsko varnost v podjetju Smart Com, ki je napisal tudi belo knjigo Odkrivanje in preprečevanje SQL Injection.

Kompleksnost napadov vse večja, posledice pa hujše

V praksi so ranljivosti zaradi injiciranja SQL-stavkov bistveno bolj kompleksne, kot je zgoraj opisani primer. To v informacijske sisteme vnaša znatno večje grožnje, kot je (le) dostop do nekaterih podatkov. Ogroženi niso samo podatki, ki so neposredno povezani z ranljivo aplikacijo, ampak tudi podatki iz drugih aplikacij v podjetju, če so na istem strežniku (podatkovni bazi), podatki o skrbnikih (gesla, uporabniška imena, dostopi), ki se pogosto shranjujejo v isto bazo, in v luči sveže uredbe GDPR tudi podatki, ki veljajo za osebne/občutljive (na primer seznam e-poštnih naslovov uporabnikov, prijavljenih na e-novice, zbranih prek spletne strani).

»Poznamo ranljivosti, ki so sicer lahko zelo nevarne, a je dejanska zmožnost njihove izrabe odvisna od drugih okoliščin; nekatere so nekje polno izrabljive, druge delno, tretje sicer obstajajo, a jih ni možno izrabiti. Pri ranljivostih injiciranja SQL-stavkov žal velja prvo – ko se pojavijo, praksa kaže, da jih praviloma napadalec lahko izrabi v celoti, posledice pa so za podjetja lahko zelo hude,« razlaga Ban.

Napišite svoj komentar

Da boste lahko napisali komentar, se morate prijaviti.
Več o temi
Kliknite + poleg oznake in se prijavite na obveščanje. S klikom na ime posamezne oznake preverite seznam člankov.
OGLAS
FINANCE
Nepremičnine
Nepremičnine Kakšen mora biti kakovosten servis kosilnice

Vključevati mora vse potrebne preglede in popravila kosilnice oziroma vrtnega traktorja ali riderja – opravite ga pri strokovnjaku.

FINANCE
IKT
(Intervju) »Logično je, da bodo mobilni telefoni postali osrednja avtentikacijska naprava«
IKT
IKTBranko Žnidaršič (Intervju) »Logično je, da bodo mobilni telefoni postali osrednja avtentikacijska naprava«

O tem, kako so ponudniki storitev in rešitev za kibernetsko varnost občutili spremembe v vedenju podjetij in s tem tudi premike na trgu, smo se pogovarjali z Mirom Faganelom, vodjo prodaje segmenta Omrežja in varnost v podjetju S & T Slovenija

Moje finance
Razno
(intervju Dalibor Cerar) »Takoj, ko se povežete na internet, začne nekdo preverjati, katera 'vrata' imate odprta in kako lahko vstopi.«
Moje finance
RaznoKsenija Sedej (intervju Dalibor Cerar) »Takoj, ko se povežete na internet, začne nekdo preverjati, katera 'vrata' imate odprta in kako lahko vstopi.«

Občutek varnosti nam veliko pomeni. Doma vsaj zvečer večinoma zaklenemo vrata, kupujemo ključavnice za kolesa, nekateri tudi varnostne kamere. Kaj pa internet? Internet nikoli ne spi. Kako velika težava so za modernega človeka kibernetski napadi? »Če se kibernetski kriminal primerja z drugimi vrstami kriminala, ga je vse več. Tudi povzročena škoda je lahko občutno večja,« pravi strokovnjak za kibernetsko varnost Dalibor Cerar iz podjetja Kabi. Kako lahko bolje poskrbimo za svojo varnost na spletu?

FINANCE
Okolje & energija
Pred izbiro srednje  šole ali fakultete: tu lahko mladi preverijo, kakšen profil inženirja so
Okolje & energija
Okolje & energijaBorut Hočevar Pred izbiro srednje šole ali fakultete: tu lahko mladi preverijo, kakšen profil inženirja so

Tik pred letošnjim vpisom na srednje šole in fakultete je zaživela aplikacija KAMbi, ki mladim pomaga pri izbiri študija in poklica.

FINANCE
IKT
Ste izpeljali odličen B2B e-commerce projekt? Prav vas iščemo!
IKT
SPLETNO POSLOVANJE
IKTFinance PRO Ste izpeljali odličen B2B e-commerce projekt? Prav vas iščemo!

Z izborom želimo ozaveščati o pomenu in koristih digitalizacije medpodjetniškega poslovanja ter predstaviti slovenske dobre prakse spletnega poslovanja na področju B2B

FINANCE
Dilema: Whatsapp, Signal, Telegram ali Viber? Sandi Češko in Damian Merlak uporabljata Whatsapp in Signal
Finance
Pia Bedene Dilema: Whatsapp, Signal, Telegram ali Viber? Sandi Češko in Damian Merlak uporabljata Whatsapp in Signal

Ste sprejeli nove pogoje o uporabi podatkov na Whatsappu ali preklopili na drugo aplikacijo za pošiljanje sporočil?

FINANCE
IKT
Kakšnim kibernetskim grožnjam so izpostavljene spletne trgovine
IKT
IKTBranko Žnidaršič Kakšnim kibernetskim grožnjam so izpostavljene spletne trgovine

V SIQ Ljubljana v povprečju odkrijejo štiri grožnje na varnostni pregled, kjer obstaja 73,3‑odstotna verjetnost, da ima aplikacija ranljivost z visoko stopnjo tveganja

Moje finance
Razno
(P)ostati fit: Vodnik po mobilnih aplikacijah za vadbo doma
Moje finance
RaznoPia Bedene (P)ostati fit: Vodnik po mobilnih aplikacijah za vadbo doma

Čeprav je vlada sprostila ukrepe za vadbo v zaprtih prostorih, je število vadečih še vedno zelo omejeno. Še vedno bomo številni primorani trenirati doma. Pri tem nam lahko pomagajo aplikacije, ki ponujajo na stotine različnih vadb, skozi katere nas vodijo virtualni osebni trenerji. Pripravili smo pregled najbolj priljubljenih mobilnih aplikacij in videov na Youtubu, ki nas lahko »preganjajo« in motivirajo namesto osebnih trenerjev v fitnesih.

FINANCE
IKT
Kako so procesni sistemi postali strelovod za hekerske napade
OGLAS
IKT
KIBERNETSKA VARNOST
IKTFinance PR Kako so procesni sistemi postali strelovod za hekerske napade (OGLAS)

Varovanje industrijskih okolij še nikoli ni bilo pomembnejše.