TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz
-
Upload
trojmiejska-grupa-testerska -
Category
Software
-
view
121 -
download
2
Transcript of TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz
Internet SecuritySQL Injection
Robert CharewiczGdańsk, 8 czerwca 2016
Background•Coraz więcej osób na świecie dostaje możliwość podłączenia się do Internetu
•Przetwarzamy olbrzymie (tylko > 1 ZB w 2015) ilości danych …
• ... u 2,4 mld użytkowników (2014) ...
SQL Injection
Nieupoważnione wykonanie* kodu SQL na systemie lub urządzeniu zdalnym agregującym dane.
* Mające często na celu kradzież tych danych lub zniszczenie bazy – to już zależy od intencji atakującego!
Opis ataku• http://sekurak.pl/wp-content/uploads/2013/06/sql_query_1.png
(Sekurak)
• http://sekurak.pl/wp-content/uploads/2013/06/sql_injection2.png (Sekurak)
DemonstracjaPrzykłady ataku SQL InjectionWykorzystanie programu sqlmap
Jak się bronić•Walidacja danych po stronie klienta i serwera (!)
•Odcięcie dostępu zdalnego do serwera – tylko dostęp lokalny
•Utworzenie użytkowników z prawami tylko do określonych operacji na bazie danych
•Użycie procedur składowanych
Ciekawostki• SQL Injection występujące w nazwie firmy: Dariusz Jakubowski
x’; DROP TABLE users; SELECT ‘1• https://niebezpiecznik.pl/post/jego-firma-ma-w-nazwie-sql-injection-
nie-zazdroscimy-tym-ktorzy-beda-go-fakturowali/
• Błąd SQL na paragonie• https://niebezpiecznik.pl/post/sql-injection-w-paragonie/
Ciekawostki
Pytania ?
Dziękuję za uwagę