Báo cáo ATTT CÁC DẠNG TẤN CÔNG SQL INJECTION
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (326.35 KB, 22 trang )
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
MỤC LỤC
MỤC LỤC......................................................................................................................1
CHƯƠNG I: TÌM HIỂU VỀ CÁC DẠNG TẤN CÔNG SQL INJECTION...........2
1.1Khái niệm.................................................................................................................. 2
1.1.1 SQL (Structured Query Language )...................................................................2
1.1.3 SQL Injection .......................................................................................................7
CHƯƠNG II: CÁC DẠNG TẤN CÔNG SQL INJECTION...................................13
2.1 Dạng tấn công vượt qua kiểm tra đăng nhập......................................................13
2.2 Dạng tấn công sử dụng câu lệnh SELECT..........................................................14
2.3 Dạng tấn công sử dụng câu lệnh INSERT...........................................................16
2.4 Dạng tấn công sử dụng stored-procedures..........................................................17
2.5 Kết luận..................................................................................................................17
CHƯƠNG III: PHÒNG CHỐNG SQL INJECTION...............................................18
3.1 Kiểm soát chặt chẽ dữ liệu đầu vào .....................................................................18
3.2 Sử dụng các lớp giao tiếp trừu tượng ..................................................................19
3.3 Thiết lập các đối tượng giả làm mồi nhử .............................................................20
3.4 Thiết lập cấu hình an toàn cho hệ quản trị cơ sở dữ liệu ...................................20
KẾT LUẬN..................................................................................................................21
TÀI LIỆU THAM KHẢO...........................................................................................22
Nhóm sinh viên thực hiện: 1
1
Lớp M14CQTE02-B
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
CHƯƠNG I: TÌM HIỂU VỀ CÁC DẠNG TẤN CÔNG SQL INJECTION
1.1 Khái niệm
1.1.1 SQL (Structured Query Language )
Là ngôn ngữ truy vấn mang tính cấu trúc, là một loại ngôn ngữ máy tính phổ biến để
tạo, sửa, và lấy dữ liệu từ một hệ quản trị cơ sở dữ liệu quan hệ. Ngôn ngữ này phát
triển vượt xa so với mục đích ban đầu là để phục vụ các hệ quản trị cơ sở dữ liệu đối
tượng-quan hệ. Nó là một tiêu chuẩn ANSI/ISO.
Từ một bài báo tham dự hội thảo khoa học A Relational Model of Data for Large
Share Data Banks (tạm dịch là "Mô hình quan hệ cho dữ liệu dùng trong ngân hàng dữ
liệu chia sẻ có khối lượng lớn") của tiến sĩ Edgar F. Codd xuất bản tháng
6 năm 1970 trong tạp chí Communications of the ACM của Hiệp hội ACM[8], một mô
hình đã được chấp nhận rộng rãi là mô hình tiêu chuẩn dùng cho hệ thống quản lý cơ sở
dữ liệu quan hệ.
Giữa những năm 1970, một nhóm các nhà phát triển tại trung tâm nghiên cứu
của IBM tại San Jose phát triển hệ thống cơ sở dữ liệu "Hệ thống R" dựa trên mô hình
của Codd. Structured English Query Language, viết tắt là "SEQUEL" (tạm dịch là
"Ngôn ngữ truy vấn tiếng Anh có cấu trúc"), được thiết kế để quản lý và truy lục dữ liệu
được lưu trữ trong Hệ thống R. Sau này, tên viết tắt SEQUEL được rút gọn thành SQL
để tránh việc tranh chấp nhãn hiệu (từ SEQUEL đã được một công ty máy bay
của UK là Hawker-Siddeley đăng ký). Mặc dù SQL bị ảnh hưởng bởi công trình của
tiến sĩ Codd nhưng nó không do tiến sĩ Codd thiết kế ra. Ngôn ngữ SEQUEL được thiết
kế bởi Donald D. Chamberlin vàRaymond F. Boyce tại IBM, và khái niệm của họ được
phổ biến để tăng sự chú ý về SQL.
Phiên bản cơ sở dữ liệu quan hệ phi thương mại, không hỗ trợ SQL đầu tiên được
phát triển năm 1974.(Ingres from U.C. Berkeley.)
Năm 1978, việc thử nghiệm phương pháp được khởi đầu tại một cơ sở thử nghiệm
của khách hàng. Cuộc thử nghiệm đã chứng minh được sự có ích và tính thực tiễn của
hệ thống và đã chứng tỏ sự thành công của IBM. Dựa vào kết quả đó, IBM bắt đầu phát
triển các sản phẩm thương mại bổ sung thêm SQL dựa trên nguyên mẫu Hệ thống R
bao gồm System/38 (Hệ thống/38) (được công bố năm 1978 và được thương mại hóa
tháng 8 năm 1979, SQL/DS (được giới thiệu vào năm 1981) và DB2 (năm 1983).
Nhóm sinh viên thực hiện: 1
2
Lớp M14CQTE02-B
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
Cùng thời điểm đó Relational Software, Inc. (bây giờ là Oracle Corporation) đã
nhận thấy tiềm năng của những khái niệm được Chamberlin and Boyce đưa ra và đã
phát triển phiên bản Hệ quản trị cơ sở dự liệu quan hệ riêng của họ cho Navy, CIA và
các tổ chức khác. Vào mùa hè năm 1979, Relational Software, Inc. giới thiệu Oracle V2
(Phiên bản 2), phiên bản thương mại đầu tiên hỗ trợ SQL cho máy tính VAX. Oracle
thường xuyên được nhắc tới một cách không nghiêm túc vì đã tấn công thị trường
của IBM trong 2 năm, nhưng việc táo bạo nhất trong quan hệ công chúng của họ là tấn
công một phiên bản của IBM System/38 chỉ trong có vài tuần. Tương lai của Oracle đã
được đảm bảo vì có sự quan tâm đáng kể của công chúng sau đó mới phát triển, trong
khi đã có nhiều phiên bản của các nhà cung cấp khác.
IBM đã quá chậm trong việc phát triển SQL và các sản phẩm quan hệ, có lẽ vì ban
đầu nó không dùng được trong môi trường Unix và máy tính lớn (Mainframe), và họ sợ
nó sẽ làm giảm lợi nhuận thu được từ việc bán các sản phẩm cơ sở dữ liệu IMS (những
sản phẩm dựa trên mô hình cơ sở dữ liệu định hướng chứ không phải cơ sở dữ liệu quan
hệ) của mình. Trong lúc đó, Oracle vẫn đang phát triển, IBM đang phát
triển System/38, được mong đợi là hệ cơ sở dữ liệu quan hệ đầu tiên của họ. Với năng
lực và thiết kế tiên tiến của nó, người ta cho rằng nó có thể sẽ thay thế cho hệ thống
Unix và máy tính lớn.
SQL được thừa nhận là tiêu chuẩn của ANSI (American National Standards
Institute) vào năm 1986 và ISO (International Organization for Standardization) năm
1987. ANSI đã công bố cách phát âm chính thức của SQL là "ess kyoo ell", nhưng rất
nhiều các chuyên gia cơ sở dữ liệu nói tiếng Anh vẫn gọi nó là sequel. Một quan niệm
sai khác cũng được phổ biến rộng rãi đó là "SQL" là chữ viết tắt của "Structured Query
Language" (Ngôn ngữ truy vấn có cấu trúc). Thực tế không phải như vậy.
Năm Tên
Tên
khác
SQL-87
1986
SQL-86
1989
1992
1999
2003
SQL-89
SQL-92
SQL2
SQL:1999 SQL3
SQL:2003
Chú giải
Được công bố đầu tiên bởi ANSI. Được phê chuẩn
bởi ISO năm 1987.
Thay đổi nhỏ.
Thay đổi lớn.
1.1.2 SQL chia thành nhiều nhóm:
Nhóm sinh viên thực hiện: 1
3
Lớp M14CQTE02-B
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
Lấy dữ liệu
Thao tác sử dụng nhiều nhất trong một cơ sở dữ liệu dựa trên giao dịch là thao tác lấy
dữ liệu.
•
•
SELECT được sử dụng để lấy dữ liệu từ một hoặc nhiều bảng trong cơ sở dữ
liệu, SELECT là lệnh thường dùng nhất của ngôn ngữ sửa đổi dữ liệu (tạm dịch) (tiếng
Anh: Data Manipulation Language - DML). Trong việc tạo ra câu truy vấn SELECT,
người sử dụng phải đưa ra mô tả cho những dữ liệu mình muốn lấy ra chứ không chỉ ra
những hành động vật lý nào bắt buộc phải thực hiện để lấy ra kết quả đó. Hệ thống cơ
sở dữ liệu, hay chính xác hơn là bộ tối ưu hóa câu truy vấn sẽ dịch từ câu truy vấn
sang kế hoạch truy vấn tối ưu.
Những từ khóa liên quan tới SELECT bao gồm:
•
FROM dùng để chỉ định dữ liệu sẽ được lấy ra từ những bảng nào,
và các bảng đó quan hệ với nhau như thế nào.
•
WHERE dùng để xác định những bản ghi nào sẽ được lấy ra, hoặc
áp dụng với GROUP BY.
•
GROUP BY dùng để kết hợp các bản ghi có những giá trị liên quan
với nhau thành các phần tử của một tập hợp nhỏ hơn các bản ghi.
•
HAVING dùng để xác định những bản ghi nào, là kết quả từ từ khóa
GROUP BY, sẽ được lấy ra.
•
ORDER BY dùng để xác định dữ liệu lấy ra sẽ được sắp xếp theo
những cột nào.
Ví dụ sau về việc sử dụng câu lệnh SELECT để lấy danh sách những cuốn sách có
giá trị. Câu truy vấn này sẽ truy lục tất cả các bản ghi trong bảng books với giá trị của
cột pricelớn hơn 100.00. Kết quả sẽ được sắp xếp theo thứ tự tăng dần của các giá trị
trong cột title. Dấu (*) trong phần select list cho biết tất cả các cột của bảng books sẽ
được lấy ra và thể hiện ở kết quả.
SELECT *
FROM books
WHERE price > 100.00
ORDER BY title;
Nhóm sinh viên thực hiện: 1
4
Lớp M14CQTE02-B
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
Ví dụ sau giải thích cách liên kết nhiều bảng, tập hợp các bản ghi trong câu truy
vấn SQL, nó sẽ trả về danh sách các cuốn sách và số tác giả của từng cuốn sách.
SELECT books.title, count(*) AS Authors
FROM books
JOIN book_authors
ON books.isbn = book_authors.isbn
GROUP BY books.title;
Kết quả của ví dụ trên giống như sau:
Title
Authors
---------------------------SQL Examples and Guide
3
The Joy of SQL
1
How to use Wikipedia
2
Pitfalls of SQL
1
How SQL Saved my Dog
1
(Kí tự gạch chân "_" thường được sử dụng trong tên bảng và tên cột để phân cách các
từ vì các kí tự khác có thể mâu thuẫn với cú pháp SQL. Ví dụ như, dấu "-" có thể được
hiểu là dấu trừ.)
Với điều kiện cột isbn là cột chung duy nhất của hai bảng và cột title chỉ tồn tại
trong bảng books thì câu truy vấn trên có thể được viết lại theo mẫu sau:
SELECT title, count(*) AS Authors
FROM books
NATURAL JOIN book_authors
GROUP BY title;
Tuy nhiên nhiều nhà cung cấp không hỗ trợ các thức này, hoặc nó yêu cầu một
số quy ước về tên cột nào đó. Như vậy, câu truy vấn trên không được phổ biến.
Sửa đổi dữ liệu
Ngôn ngữ sửa đổi dữ liệu (Data Manipulation Language - DML), là một phần
nhỏ của ngôn ngữ, có những thành phần tiêu chuẩn dùng để thêm, cập nhật và xóa dữ
liệu delete data.
•
INSERT dùng để thêm dữ liệu vào một bảng đã tồn tại.
Nhóm sinh viên thực hiện: 1
5
Lớp M14CQTE02-B
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
•
•
•
•
GVHD: TS. Hoàng Xuân
UPDATE dùng để thay đổi giá trị của một tập hợp các bản ghi trong một bảng.
MERGE dùng để kết hợp dữ liệu của nhiều bảng. Nó được dùng như việc kết hợp
giữa hai phần tử INSERT và UPDATE.
DELETE xóa những bản ghi tồn tại trong một bảng.
TRUNCATE Xóa toàn bộ dữ liệu trong một bảng (không phải là tiêu chuẩn,
nhưng là một lệnh SQL phổ biến).
Giao dịch
Giao dịch, nếu có, dùng để bao bọc các thao tác sửa đổi dữ liệu. Giao dịch
(transaction) là một tập các thao tác đi cùng với nhau. Trên môi trường khách/chủ
(client/server) hay môi trường cơ sở dữ liệu phân tán việc đảm bảo tính đúng đắn của
dữ liệu rất quan trọng. Ví dụ: Một người rút tiền khỏi tài khoản tại ngân hàng, thì tại
thời điểm rút tiền, thao tác rút tiền khác phải bị từ chối. Các thao tác trên tài khoản đó
có thể hình dung như sau:
Thao tác 1: <Mở khóa tài khoản>
Thao tác 2: <Thực hiện thao tác rút tiền>
Thao tác 3: <Khóa tài khoản>
Để đảm bảo các thao tác 1-3 phải đi liền với nhau thì phải đưa vào trong một
transaction
<START TRANSACTION>
Thao tác 1: <Mở khóa tài khoản>
Thao tác 2: <Thực hiện thao tác rút tiền>
Thao tác 3: <Khóa tài khoản>
<END TRANSACTION>
Các lệnh liên quan đến giao dịch:
•
BEGIN WORK (hoặc START TRANSACTION, tùy theo các ngôn ngữ SQL
khác nhau) được sử dụng để đánh dấu việc bắt đầu một giao dịch dữ liệu (giao dịch dữ
liệu đó có kết thúc hoàn toàn hay không).
•
COMMIT dùng để lưu lại những thay đổi trong giao dịch.
•
ROLLBACK dùng để quay lại thời điểm sử dụng lệnh COMMIT cuối cùng.
Nhóm sinh viên thực hiện: 1
6
Lớp M14CQTE02-B
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
SQL Injection
Là một cách chèn đoạn lệnh SQL vào để thực hiện việc vượt qua sự kiểm tra của
mệnh đề WHERE. Ví dụ một câu truy vấn lấy tài khoản người dùng:
SELECT ID, NAME FROM USERS WHERE USERNAME='JONH' AND
PASSWORD='1234'
Câu trên chỉ có thể đúng nếu thỏa cặp USERNAME và PASSWORD tồn tại trong cơ sở
dữ liệu. Câu trên có thể viết injection như sau: thay cụm từ JONH thành: ' OR 1=1
or''=' (lưu ý ký tự nháy đơn ') khi đó câu SQL sẽ trở thành:
SELECT ID, NAME FROM USERS WHERE USERNAME='' OR 1=1 or''='' AND
PASSWORD='1234'
đoạn mã này hoạt động với bất cứ password nào. Việc phòng chống SQL Injection cũng
không khó, chỉ cần chú ý khi viết là có thể chống lại được.
Định nghĩa dữ liệu
Ngôn ngữ định nghĩa dữ liệu (Data Definition Language, viết tắt là DDL) là một
trong những phần chính của ngôn ngữ truy vấn. Các câu lệnh này dùng để định nghĩa
cấu trúc củacơ sở dữ liệu, bao gồm định nghĩa các hàng, các cột, các bảng dữ liệu, các
chỉ số và một số thuộc tính khác liên quan đến cơ sở dữ liệu như vị trí của file. Các câu
lệnh ngôn ngữ định nghĩa dữ liệu là thành phần chính trong các hệ quản lý dữ liệu và có
sự khác biệt rất nhiều giữa các ngôn ngữ truy vấn trên các hệ khác nhau.
1.1.3 SQL Injection
SQL Injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong
việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị
cơ sở dữ liệu để "tiêm vào" (inject) và thi hành các câu lệnh SQL bất hợp pháp (không
được người phát triển ứng dụng lường trước). Hậu quả của nó rất tai hại vì nó cho phép
những kẻ tấn công có thể thực hiện các thao tác xóa, hiệu chỉnh, … Do có toàn quyền
trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy. Lỗi này
thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở
dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase.
Nhóm sinh viên thực hiện: 1
7
Lớp M14CQTE02-B
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
Các dạng lỗi thường gặp
Không kiểm tra ký tự thoát truy vấn
Đây là dạng lỗi SQL injection xảy ra khi thiếu đoạn mã kiểm tra dữ liệu đầu vào trong
câu truy vấn SQL. Kết quả là người dùng cuối có thể thực hiện một số truy vấn không
mong muốn đối với cơ sở dữ liệu của ứng dụng. Dòng mã sau sẽ minh họa lỗi này:
statement = "SELECT * FROM users WHERE name = '" + userName + "';"
Câu lệnh này được thiết kế để trả về các bản ghi tên người dùng cụ thể từ bảng những
người dùng. Tuy nhiên, nếu biến "userName" được nhập chính xác theo một cách nào đó
bởi người dùng ác ý, nó có thể trở thành một câu truy vấn SQL với mục đích khác hẳn so
với mong muốn của tác giả đoạn mã trên. Ví dụ, ta nhập vào giá trị của
biến userName như sau:
a' or 't'='t
Khiến câu truy vấn có thể được hiểu như sau:
SELECT * FROM users WHERE name = 'a' or 't'='t';
Nhóm sinh viên thực hiện: 1
8
Lớp M14CQTE02-B
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
Nếu đoạn mã trên được sử dụng trong một thủ tục xác thực thì ví dụ trên có thể được sử
dụng để bắt buộc lựa chọn một tên người dùng hợp lệ bởi 't'='t' luôn đúng. Trong khi hầu
hết các SQL server cho phép thực hiện nhiều truy vấn cùng lúc chỉ với một lần gọi, tuy
nhiên một số SQL API như mysql_query của php lại không cho phép điều đó vì lý do bảo
mật. Điều này chỉ ngăn cản tin tặc tấn công bằng cách sử dụng các câu lệnh riêng rẽ mà
không ngăn cản tin tặc thay đổi các từ trong cú pháp truy vấn. Các giá trị của biến
"userName" trong câu truy vấn dưới đây sẽ gây ra việc xoá những người dùng từ bảng
người dùng cũng tương tự như việc xóa tất cả các dữ liệu được từ bảng dữ liệu (về bản
chất là tiết lộ các thông tin của mọi người dùng), ví dụ này minh họa bằng một API cho
phép thực hiện nhiều truy vấn cùng lúc:
a';DROP TABLE users; SELECT * FROM data WHERE 't' = 't
Điều này đưa tới cú pháp cuối cùng của câu truy vấn trên như sau:
SELECT * FROM users WHERE name = 'a';DROP TABLE users; SELECT * FROM
data WHERE 't' = 't';
Xử lý không đúng kiểu
Lỗi SQL injection dạng này thường xảy ra do lập trình viên hay người dùng định nghĩa
đầu vào dữ liệu không rõ ràng hoặc thiếu bước kiểm tra và lọc kiểu dữ liệu đầu vào. Điều
này có thể xảy ra khi một trường số được sử dụng trong truy vấn SQL nhưng lập trình
viên lại thiếu bước kiểm tra dữ liệu đầu vào để xác minh kiểu của dữ liệu mà người dùng
nhập vào có phải là số hay không. Ví dụ như sau:
statement:= "SELECT * FROM data WHERE id = " + a_variable + ";"
Ta có thể nhận thấy một cách rõ ràng ý định của tác giả đoạn mã trên là nhập vào một số
tương ứng với trường id - trường số. Tuy nhiên, người dùng cuối, thay vì nhập vào một
số, họ có thể nhập vào một chuỗi ký tự, và do vậy có thể trở thành một câu truy vấn SQL
hoàn chỉnh mới mà bỏ qua ký tự thoát. Ví dụ, ta thiết lập giá trị của biến a_variable là:
1;DROP TABLE users
khi đó, nó sẽ thực hiện thao tác xóa người dùng có id tương ứng khỏi cơ sở dữ liệu, vì
câu truy vấn hoàn chỉnh đã được hiểu là:
SELECT * FROM data WHERE id=1;DROP TABLE users;
Lỗi bảo mật bên trong máy chủ cơ sở dữ liệu
Đôi khi lỗ hổng có thể tồn tại chính trong phần mềm máy chủ cơ sở dữ liệu, như là
trường hợp hàm mysql_real_escape_string() của các máy chủ MySQL. Điều này sẽ cho
phép kẻ tấn công có thể thực hiện một cuộc tấn công SQL injection thành công dựa trên
Nhóm sinh viên thực hiện: 1
9
Lớp M14CQTE02-B
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
những ký tự Unicode không thông thường ngay cả khi đầu nhập vào đang được
thoát. Chữ đậm
Blind SQL injection
Lỗi SQL injection dạng này là dạng lỗi tồn tại ngay trong ứng dụng web nhưng hậu quả
của chúng lại không hiển thị trực quan cho những kẻ tấn công. Nó có thể gây ra sự sai
khác khi hiển thị nội dung của một trang chứa lỗi bảo mật này, hậu quả của sự tấn công
SQL injection dạng này khiến cho lập trình viên hay người dùng phải mất rất nhiều thời
gian để phục hồi chính xác từng bit dữ liệu. Những kẻ tấn công còn có thể sử dụng một
số công cụ để dò tìm lỗi dạng này và tấn công với những thông tin đã được thiết lập sẵn.
Thay đổi giá trị điều kiện truy vấn
Dạng lỗi này khiến cho kẻ tấn công có thể thay đổi giá trị điều kiện trong câu truy vấn,
làm sai lệch sự hiển thị của một ứng dụng chứa lỗi này.
SELECT booktitle from booklist where bookId = 'OOk14cd' AND 1=1;
Sẽ hiển thị một trang một cách bình thường, trong khi:
SELECT booktitle from booklist where bookId = 'OOk14cd' AND 1=2;
sẽ hiển thị một nội dung khác, hoặc không hiển thị gì nếu ứng dụng web có chứa lỗi
SQL injection dạng này. Lỗ hổng dạng này còn cho phép tin tặc không chỉ gây ảnh
hưởng tới bảng hay dữ liệu hiện tại mà còn ảnh hưởng tới những dữ liệu hay bảng khác
phụ thuộc vào nội dung của dữ liệu hay bảng hiện tại.
Điều kiện lỗi
Lỗi SQL injection dạng này dẫn tới việc buộc cơ sở dữ liệu chỉ được phép đánh giá khi
mà giá trị của câu lệnh WHERE là đúng. Ví dụ:
SELECT 1/0 from users where username='Ralph';
Phép chia cho 0 chỉ được đánh giá là lỗi khi mà người dùng có tên "Ralph" tồn tại trong
cơ sở dữ liệu.
Thời gian trễ
Lỗi SQL injection dạng này tồn tại khi thời gian xử lý của một hay nhiều truy vấn SQL
phụ thuộc vào dữ liệu logic được nhập vào hoặc quá trình xử lý truy vấn của SQL
engine cần nhiều thời gian. Tin tặc có thể sử dụng lỗi SQL injection dạng này để xác
định thời gian chính xác mà trang cần tải khi giá trị nhập vào là đúng.
Nhóm sinh viên thực hiện: 1
B
10
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
1.2 Mức độ thiệt hại
Thực chất, nguồn gốc của quá trình tấn công SQL Injection là sự cẩu thả trong quy
trình mã hóa ứng dụng, mật khẩu ứng dụng nhưng vẫn có thể ngăn chặn được, tuy
nhiên mức độ thiệt hại là không thể lường trước được và phụ thuộc vào quy mô của
từng database. Trong quá trình một ứng dụng web bất kỳ có thể giao tiếp với backen
database thì sẽ phải cung cấp thông tin đăng nhập tới một cơ sở dữ liệu (quy trình này
khác hẳn so với lúc người dùng tiến hành đăng nhập vào website hay form login). Phụ
thuộc vào mức phân quyền tương ứng mà ứng dụng web yêu cầu, tài khoản trong cơ sở
dữ liệu có thể sử dụng được bất kỳ quyền chỉnh sửa nào, từ việc đơn giản như đọc, ghi
đơn thuần trên những bảng có sẵn cho tới mức quyền đầy đủ.
Chúng ta thấy bằng việc nhập tên tài khoản (ví dụ “youruser”, “admin’--” hoặc bất
kỳ) thì hoàn toàn có thể đăng nhập trực tiếp vào database mà không cần biết password.
Khi ở bên trong hệ thống sẽ không thể biết được tài khoản đó bình thường hoặc có đầy
đủ quyền tương ứng. Về mặt bản chất, việc phân quyền của database không cung cấp
quyền chính xác tương ứng và an toàn trong quá trình này, bởi vì thông thường một
website ít nhất phải có quyền đọc hoặc ghi tới cơ sở dữ liệu tương ứng.
Giải sử rằng hệ thống website của chúng ta có đầy đủ quyền truy cập, bao gồm việc
xóa dữ liệu, thêm hoặc xóa bảng, tạo mới tài khoản… và trên thực tế, có khá nhiều
chương trình nếu muốn cài đặt và sử dụng thì phải được phân quyền ở mức cao nhất, do
vậy bạn phải cẩn thận khi thực hiện việc gán quyền.
Để minh họa mức ộ thiệt hại có thể xảy ra trong tình huống này, chúng ta sẽ dựa
vào hình vẽ trên, và nhập phần thông tin sau vào trường Username:
"Robert'; DROP TABLE Users;--"
Chỉ với vài sự thay đổi nho nhỏ, câu lênh query sẽ trở thành:
Nhóm sinh viên thực hiện: 1
B
11
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
SELECT UserID FROM Users WHERE UserName='Robert'; DROP TABLE Users;--'
AND Password='wrongpass'
Lưu ý rằng dấu phẩy trong MySQL được sử dụng để kết thúc mệnh đề cũ và bắt đầu
một mệnh đề mới.
Dòng lênh trên sẽ được database thực hiện thành:
SELECT UserID FROM Users WHERE UserName='Robert'
DROP TABLE Users
Chỉ đơn giản như vậy chúng ta đã thực hiện thành công một pha tấn công SQLI nho
nhỏ với mục đích chính là xóa toàn bộ bảng dữ liệu Users.
1.3 Kết luận
Trong chương này chúng ta được giới thiệu khái quát về SQL, SQL Injection các
lỗi thường gặp và mức độ thiệt hại trong tấn công SQL Injection.
Nhóm sinh viên thực hiện: 1
B
12
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
CHƯƠNG II: CÁC DẠNG TẤN CÔNG SQL INJECTION
2.1 Dạng tấn công vượt qua kiểm tra đăng nhập
Với dạng tấn công này, tin tặc có thể dễ dàng vượt qua các trang đăng nhập nhờ
vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của ứng dụng web. Xét
một ví dụ điển hình, thông thường để cho phép người dùng truy cập vào các trang web
được bảo mật, hệ thống thường xây dựng trang đăng nhập để yêu cầu người dùng nhập
thông tin về tên đăng nhập và mật khẩu. Sau khi người dùng nhập thông tin vào, hệ
thống sẽ kiểm tra tên đăng nhập và mật khẩu có hợp lệ hay không để quyết định cho
phép hay từ chối thực hiện tiếp. Trong trường hợp này, người ta có thể dùng hai trang,
một trang HTML để hiển thị form nhập liệu và một trang ASP dùng để xử lí thông tin
nhập từ phía người dùng. Ví dụ:
login.htm
<form action="ExecLogin.asp" method="post">
Username: <input type="text" name="fUSRNAME">
Password: <input type="password" name="fPASSWORD">
<input type="submit">
</form>
execlogin.asp
<%
Dim vUsrName, vPassword, objRS, strSQL
vUsrName = Request.Form("fUSRNAME")
vPassword = Request.Form("fPASSWORD")
strSQL = "SELECT * FROM T_USERS " & _
"WHERE USR_NAME=' " & vUsrName & _
Nhóm sinh viên thực hiện: 1
B
13
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
" ' and USR_PASSWORD=' " & vPassword & " ' "
Set objRS = Server.CreateObject("ADODB.Recordset")
objRS.Open strSQL, "DSN=..."
If (objRS.EOF) Then
Response.Write "Invalid login."
Else
Response.Write "You are logged in as " & objRS("USR_NAME")
End If
Set objRS = Nothing
%>
Thoạt nhìn, đoạn mã trong trang execlogin.asp dường như không chứa bất cứ một
lỗ hổng về an toàn nào. Người dùng không thể đăng nhập mà không có tên đăng nhập
và mật khẩu hợp lệ. Tuy nhiên, đoạn mã này thực sự không an toàn và là tiền đề cho
một lỗi SQL injection. Đặc biệt, chỗ sơ hở nằm ở chỗ dữ liệu nhập vào từ người dùng
được dùng để xây dựng trực tiếp câu lệnh SQL. Chính điều này cho phép những kẻ tấn
công có thể điều khiển câu truy vấn sẽ được thực hiện. Ví dụ, nếu người dùng nhập
chuỗi sau vào trong cả 2 ô nhập liệu username/password của trang login.htm là: ' OR ' '
= ' '. Lúc này, câu truy vấn sẽ được gọi thực hiện là: SELECT * FROM T_USERS
WHERE USR_NAME ='' OR ''='' and USR_PASSWORD= '' OR ''=''
Câu truy vấn này là hợp lệ và sẽ trả về tất cả các bản ghi của T_USERS và đoạn
mã tiếp theo xử lí người dùng đăng nhập bất hợp pháp này như là người dùng đăng
nhập hợp lệ.
2.2 Dạng tấn công sử dụng câu lệnh SELECT
Dạng tấn công này phức tạp hơn. Để thực hiện được kiểu tấn công này, kẻ tấn
công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo lỗi từ hệ thống để
dò tìm các điểm yếu khởi đầu cho việc tấn công.
Xét một ví dụ rất thường gặp trong các website về tin tức. Thông thường, sẽ có
một trang nhận ID của tin cần hiển thị rồi sau đó truy vấn nội dung của tin có ID này.
Nhóm sinh viên thực hiện: 1
B
14
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
Ví dụ: Mã nguồn cho chức năng này
thường được viết khá đơn giản theo dạng
<%
Dim vNewsID, objRS, strSQL
vNewsID = Request("ID")
strSQL = "SELECT * FROM T_NEWS WHERE NEWS_ID =" & vNewsID
Set objRS = Server.CreateObject("ADODB.Recordset")
objRS.Open strSQL, "DSN=..."
Set objRS = Nothing
%>
Trong các tình huống thông thường, đoạn mã này hiển thị nội dung của tin có ID
trùng với ID đã chỉ định và hầu như không thấy có lỗi. Tuy nhiên, giống như ví dụ đăng
nhập ở trước, đoạn mã này để lộ sơ hở cho một lỗi SQL injection khác. Kẻ tấn công có
thể thay thế một ID hợp lệ bằng cách gán ID cho một giá trị khác, và từ đó, khởi đầu
cho một cuộc tấn công bất hợp pháp, ví dụ như: 0 OR 1=1 (nghĩa là,
or 1=1).
Câu truy vấn SQL lúc này sẽ trả về tất cả các article từ bảng dữ liệu vì nó sẽ thực
hiện câu lệnh:
SELECT * FROM T_NEWS WHERE NEWS_ID=0 or 1=1
Một trường hợp khác, ví dụ như trang tìm kiếm. Trang này cho phép người dùng
nhập vào các thông tin tìm kiếm như Họ, Tên, … Đoạn mã thường gặp là:
<%
Dim vAuthorName, objRS, strSQL
vAuthorName = Request("fAUTHOR_NAME")
strSQL = "SELECT * FROM T_AUTHORS WHERE AUTHOR_NAME ='" &
_vAuthorName & " ' "
Nhóm sinh viên thực hiện: 1
B
15
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
Set objRS = Server.CreateObject("ADODB.Recordset")
objRS.Open strSQL, "DSN=..."
…
Set objRS = Nothing
%>
Tương tự như trên, tin tặc có thể lợi dụng sơ hở trong câu truy vấn SQL để nhập
vào trường tên tác giả bằng chuỗi giá trị:
' UNION SELECT ALL SELECT OtherField FROM OtherTable WHERE ' '=' (*)
Lúc này, ngoài câu truy vấn đầu không thành công, chương trình sẽ thực hiện
thêm lệnh tiếp theo sau từ khóa UNION nữa. Tất nhiên các ví dụ nói trên, dường như
không có gì nguy hiểm, nhưng hãy thử tưởng tượng kẻ tấn công có thể xóa toàn bộ cơ
sở dữ liệu bằng cách chèn vào các đoạn lệnh nguy hiểm như lệnh DROP TABLE. Ví dụ
như: ' DROP TABLE T_AUTHORS –
Chắc các bạn sẽ thắc mắc là làm sao biết được ứng dụng web bị lỗi dạng này
được. Rất đơn giản, hãy nhập vào chuỗi (*) như trên, nếu hệ thống báo lỗi về cú pháp
dạng: Invalid object name “OtherTable”; ta có thể biết chắc là hệ thống đã thực hiện
câu SELECT sau từ khóa UNION, vì như vậy mới có thể trả về lỗi mà ta đã cố tình tạo
ra trong câu lệnh SELECT.
Cũng sẽ có thắc mắc là làm thế nào có thể biết được tên của các bảng dữ liệu mà
thực hiện các thao tác phá hoại khi ứng dụng web bị lỗi SQL injection. Cũng rất đơn
giản, bởi vì trong SQL Server, có hai đối tượng là sysobjects và syscolumns cho phép
liệt kê tất cả các tên bảng và cột có trong hệ thống. Ta chỉ cần chỉnh lại câu lệnh
SELECT, ví dụ như:
' UNION SELECT name FROM sysobjects WHERE xtype = 'U' là có thể liệt kê
được tên tất cả các bảng dữ liệu.
2.3 Dạng tấn công sử dụng câu lệnh INSERT
Thông thường các ứng dụng web cho phép người dùng đăng kí một tài khoản để
tham gia. Chức năng không thể thiếu là sau khi đăng kí thành công, người dùng có thể
Nhóm sinh viên thực hiện: 1
B
16
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
xem và hiệu chỉnh thông tin của mình. SQL injection có thể được dùng khi hệ thống
không kiểm tra tính hợp lệ của thông tin nhập vào.
Ví dụ, một câu lệnh INSERT có thể có cú pháp dạng: INSERT INTO TableName
VALUES('Value One', 'Value Two', 'Value Three'). Nếu đoạn mã xây dựng câu lệnh
SQL có dạng :
<%
strSQL = "INSERT INTO TableName VALUES(' " & strValueOne & " ', ' " _
& strValueTwo & " ', ' " & strValueThree & " ') "
Set objRS = Server.CreateObject("ADODB.Recordset")
objRS.Open strSQL, "DSN=..."
…
Set objRS = Nothing
%>
Thì chắc chắn sẽ bị lỗi SQL injection, bởi vì nếu ta nhập vào trường thứ nhất ví dụ
như: ' + (SELECT TOP 1 FieldName FROM TableName) + '. Lúc này câu truy vấn
sẽ là: INSERT INTO TableName VALUES(' ' + (SELECT TOP 1 FieldName
FROM TableName) + ' ', 'abc', 'def'). Khi đó, lúc thực hiện lệnh xem thông tin, xem
như bạn đã yêu cầu thực hiện thêm một lệnh nữa đó là: SELECT TOP 1 FieldName
FROM TableName
2.4 Dạng tấn công sử dụng stored-procedures
Việc tấn công bằng stored-procedures sẽ gây tác hại rất lớn nếu ứng dụng được
thực thi với quyền quản trị hệ thống 'sa'. Ví dụ, nếu ta thay đoạn mã tiêm vào dạng: ' ;
EXEC xp_cmdshell ‘cmd.exe dir C: '. Lúc này hệ thống sẽ thực hiện lệnh liệt kê thư
mục trên ổ đĩa C:\ cài đặt server. Việc phá hoại kiểu nào tuỳ thuộc vào câu lệnh đằng
sau cmd.exe.
2.5 Kết luận
Trong chương này chúng ta biết được các dạng tấn công SQL Injection.
Nhóm sinh viên thực hiện: 1
B
17
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
CHƯƠNG III: PHÒNG CHỐNG SQL INJECTION
3.1 Kiểm soát chặt chẽ dữ liệu đầu vào
Điểm yếu sql injection bắt nguồn từ việc xử lý dữ liệu từ người dùng không tốt,do
đó vấn đề xây dựng mã nguồn đảm bảo an ninh là cốt lõi của việc phòng chống sql
injection. Để phòng tránh các nguy cơ có thể xảy ra, hãy bảo vệ các câu lệnh SQL là
bằng cách kiểm soát chặt chẽ tất cả các dữ liệu nhập nhận được từ đối tượng Request
(Request, Request.QueryString,
Request.Form,
Request.Cookies,
and
Request.ServerVariables). Ví dụ, có thể giới hạn chiều dài của chuỗi nhập liệu, hoặc
xây dựng hàm EscapeQuotes để thay thế các dấu nháy đơn bằng 2 dấu nháy đơn như:
<%
Function EscapeQuotes(sInput)
sInput = replace(sInput, " ' ", " ' ' ")
EscapeQuotes = sInput
End Function
%>
Trong trường hợp dữ liệu nhập vào là số, lỗi xuất phát từ việc thay thế một giá trị
được tiên đoán là dữ liệu số bằng chuỗi chứa câu lệnh SQL bất hợp pháp. Để tránh
điều này, đơn giản hãy kiểm tra dữ liệu có đúng kiểu hay không bằng hàm
IsNumeric(). Ngoài ra có thể xây dựng hàm loại bỏ một số kí tự và từ khóa nguy hiểm
như: ;, --, select, insert, xp_, … ra khỏi chuỗi dữ liệu nhập từ phía người dùng để hạn
chế các tấn công dạng này:
Nhóm sinh viên thực hiện: 1
B
18
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
<%
Function KillChars(sInput)
dim badChars dim newChars
badChars = array("select", "drop", ";", "--", "insert", "delete", "xp_")
newChars = strInput
for i = 0 to uBound(badChars)
newChars = replace(newChars, badChars(i), "")
next
KillChars = newChars
End Function
%>
3.2 Sử dụng các lớp giao tiếp trừu tượng
Khi thiết kế một ứng dụng doanh nghiệp thì thường có một yêu cầu đặt ra đó là
định nghĩa các lớp (layer) như mô hình n-tier, ví dụ các lớp trình diễn (presentation),
lớp nghiệp vụ (business), lớp truy cập dữ liệu (data access) sao cho một lớp luôn
trừu tượng với lớp ở trên nó. Trong phạm vi nội dung chúng ta đang xét, đó là các
lớp trừu tượng phục vụ truy cập dữ liệu. Tùy theo từng công nghệ được sử dụng mà
ta có những lớp chuyên biệt như Hibernate trên Java, hay các framework truy
cập database (database driver) như ADO.NET, JDBC, PDO. Các lớp giao tiếp này
cho phép truy cập dữ liệu an toàn mà không làm lộ kiến trúc chi tiết bên dưới của
ứng dụng.
Một ví dụ về một lớp truy cập dữ liệu được thiết kế có tính toán, đó là tất cả
mọi câu lệnh thao tác với database có sử dụng dữ liệu bên ngoài đều phải thông qua các
câu lệnh tham số hóa. Đảm bảo điều kiện là ứng dụng chỉ truy cập tới database thông
qua lớp truy cập dữ liệu này, và ứng dụng không sử dụng các thông tin được cung cấp
để xây dựng truy vấn SQL động tại database. Một điều kiện đảm bảo hơn khi kết hợp
các phương thức truy cập database với việc sử dụng các stored procedure trên
Nhóm sinh viên thực hiện: 1
B
19
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
database. Những điều kiện như vậy sẽ giúp cho database được an toàn hơn trước những
cuộc tấn công.
3.3 Thiết lập các đối tượng giả làm mồi nhử
Chiến thuật này được đưa ra nhằm cảnh báo cho quản trị viên nguy cơ một cuộc
tấn công khi một ai đó cố tình tìm cách khai thác những dữ liệu nhạy cảm
như password. Phương pháp này nên phối hợp với việc đặt tên các đối tượng khó đoán.
Để thực hiện phương pháp này, ta sinh các bảng chứa các cột có tính nhạy cảm mà dễ
đoán, ví dụ như password, credit_no, nhưng dữ liệu trong các bảng này là dữ liệu giả,
và mỗi khi các thông tin này được truy cập, sẽ có một thông báo gửi về cho quản trị
viên.
3.4 Thiết lập cấu hình an toàn cho hệ quản trị cơ sở dữ liệu
Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử lí dữ liệu đến tài khoản
người dùng mà ứng dụng web đang sử dụng. Các ứng dụng thông thường nên tránh
dùng đến các quyền như ‘dbo’ hay ‘sa’. Quyền càng bị hạn chế, thiệt hại càng ít. Ngoài
ra cần tắt tất cả các thông báo lỗi không cần thiết của web server. Hacker có thể lợi
dụng chính các thông báo lỗi này để khai thác thông tin của hệ thống, phục vụ cho một
cuộc tấn công SQL Injection. Tóm lại để ứng dụng thật sự tránh được tấn công SQL
Injection cần triển khai một số việc sau:
• Không trả về những trang lỗi có thông tin nhạy cảm.
• Cải thiện dữ liệu nhập vào càng tốt càng có khả năng loại bỏ tấn công.
• Hạn chế tối đa quyền truy vấn.
• Thường xuyên kiểm tra, quét ứng dụng bằng những công cụ mới nhất.
• Dùng lá chắn tốt nhất có thể cho từng lớp tương tác.
Nhóm sinh viên thực hiện: 1
B
20
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
KẾT LUẬN
SQL Injection là một trong những kiểu hack website phổ biến hiện nay. Bằng cách
inject các mã SQL query/command vào input trước khi chuyển cho ứng dụng web xử
lý, bạn có thể login mà không cần username và password. Để hệ thống an toàn chúng ta
cần tuân thủ tuyệt đối các biện pháp phòng ngừa để tránh việc mất dữ liệu.
Nhóm sinh viên thực hiện: 1
B
21
Lớp M14CQTE02-
Báo cáo môn: An toàn Thông tin Nâng cao
Dậu
GVHD: TS. Hoàng Xuân
TÀI LIỆU THAM KHẢO
[1]. Bài giảng Cơ sở Dữ liệu, Ts. Phạm Thế Quế, Học Viện Công nghệ Bưu chính Viễn
thông, 2006.
[2]. Danh sách các website bị lỗi SQL injection: />[3]. SQL Injection FAQ: />tabindex=2&tabid=3
[4]. Advanced SQL Injection:
/>[5]. Preventing SQL Injection: />[6]. SQL Injection Attacks - Are You Safe? />[7]:
Nhóm sinh viên thực hiện: 1
B
22
Lớp M14CQTE02-
