Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

torsdag 10. juli 2008

Identifisere SQL-injection angrep

Vi har den siste tiden fått en del forespørsler på hvordan den siste tidens SQL-injection angrep kan identifiseres og hvordan det hele foregår. Med denne posten håper jeg at noe av dette kan bli oppklart, samt komme med noen tips om noen verktøy som forhåpentligvis kan være nyttig for noen.

Angrep
SQL-injection angrepene vi nå ser tusenvis av i døgnet pleier å være på følgende form.

Vi kan her se at det forsøkes å sende med SQL-kode etter parameterverdien i HTTP-forespørselen. Angriperen håper her at parameteren som sendes inn ikke vaskes/valideres, slik at denne strengen blir en forlengelse av en eksisterende SQL-spørring. I et forsøk på å skjule den underliggende koden er deler av strengen obfuskert ved hjelp av en hex-streng. Dekodet blir denne strengen til følgende.

En detaljert beskrivelse av hva som skjer er tilgjengelig her hos sans.org. Resultatet er at alle felter for tekst, i samtlige tabeller hvor skriverettigheter er gitt, vil få injisert følgende streng:

Det betyr at alle felter som brukes under genereringen av nettsiden som sql brukeren hadde rettigheter til å skrive til, vil nå inneholde dette scriptet, og dermed videresende besøkende til den fiendtlige nettsiden.

Identifisere sider som blir angrepet
På Microsofts open source community codeplex er det blitt utviklet et verktøy som, ved å gå igjennom loggfiler på en IIS server, skal kunne finne sider på serveren som har vært utsatt for SQL-injection angrep. Resultatet blir skrevet til en CSV-fil, som skal kunne åpnes i Excel eller lignende. Verktøyet identifiserer kun sider som er blitt angrepet, men sier ingenting om angrepet var vellykket eller ikke.

Verktøyet er tilgjenglig her: SQLInjectionFinder.exe (1.5.0)

Finne SQL injection svakheter i ASP
Microsoft publiserte 24. juni et verktøy som ved statisk kodeanalyse skal være i stand til å identifisere SQL-injection svakheter i ASP sider. Hvordan det brukes, samt litt beskrivelse av hva de ulike resultatene betyr er tilgjengelig hos Microsoft support.

Verktøyet kan lastes ned her: Source Code Analyzer for SQL Injection

Dette verktøyet fungerer dessverre ikke på ASP.NET.

Ingen kommentarer:

 
>