Internet SecuritySQL Injection

Robert CharewiczGdańsk, 8 czerwca 2016

Background•Coraz więcej osób na świecie dostaje możliwość podłączenia się do Internetu

•Przetwarzamy olbrzymie (tylko > 1 ZB w 2015) ilości danych …

• ... u 2,4 mld użytkowników (2014) ...

SQL Injection

Nieupoważnione wykonanie* kodu SQL na systemie lub urządzeniu zdalnym agregującym dane.

* Mające często na celu kradzież tych danych lub zniszczenie bazy – to już zależy od intencji atakującego!

Opis ataku• http://sekurak.pl/wp-content/uploads/2013/06/sql_query_1.png

(Sekurak)

• http://sekurak.pl/wp-content/uploads/2013/06/sql_injection2.png (Sekurak)

DemonstracjaPrzykłady ataku SQL InjectionWykorzystanie programu sqlmap

Jak się bronić•Walidacja danych po stronie klienta i serwera (!)

•Odcięcie dostępu zdalnego do serwera – tylko dostęp lokalny

•Utworzenie użytkowników z prawami tylko do określonych operacji na bazie danych

•Użycie procedur składowanych

Ciekawostki• SQL Injection występujące w nazwie firmy: Dariusz Jakubowski

x’; DROP TABLE users; SELECT ‘1• https://niebezpiecznik.pl/post/jego-firma-ma-w-nazwie-sql-injection-

nie-zazdroscimy-tym-ktorzy-beda-go-fakturowali/

• Błąd SQL na paragonie• https://niebezpiecznik.pl/post/sql-injection-w-paragonie/

Ciekawostki

Pytania ?

Dziękuję za uwagę