Vulnérabilités logicielles Injection SQL

Transcription

1 MGR850 Hiver 2014 Vulnérabilités logicielles Injection SQL Hakima Ould-Slimane Chargée de cours École de technologie supérieure (ÉTS) Département de génie électrique 1

2 Plan SQL Injection SQL Injections SQL standards Injections SQL de requêtes UNION Injections SQL aveugles Demo MGR850 H14 2

3 SQL SQL signifie Structured Query Language Langage utilisé pour accéder / communiquer avec bases de données Langages standards ANSI et ISO Les instructions SQL peuvent effectuer les tâches suivantes sur une base de données (BD): Récupération des données Insertion de nouvelles données Modification (mise à jours) des données existantes. Suppression des enregistrements Plusieurs standards, plusieurs produits BD: Les mêmes principaux mots clés pour les requêtes (SELECT, UPDATE, INSERT etc.) Chaque BD peut avoir ses propres extensions propriétaires 3

4 SQL Pub_Id Pub_name 1 Springer 2 IEEE book_id title price SQL injection 100 $ Internet Security 110 $ Une base de données relationnelle contient en général une ou plusieurs tables (liées ou pas) et qui sont identifiables par leurs noms. Chaque table contient des colonnes et des enregistrements. En général les enregistrement sont identifiables en se basant sur une ou plusieurs colonnes spécifiques qui sont les clés (index) de la table. 4

5 SQL SQL Data Definition Language (DDL) Permet de construire la base de données en créant ou supprimant des tables, spécifier les index des tables, les liens et/ou contraintes entre tables, etc. Exemple CREATE TABLE, ALTER TABLE, DROP TABLE. SQL Data Manipulation Language (DML) Manipuler les données dans la base de données Presque toutes les bases de données SQL se basent sur le modèle relationnelle des données: SGBDR: Système de Gestion de Bases de Données Relationnelles Les métadonnées, qui sont les données sur la base de données, doivent être stockeés dans la base de données elle-même avec les données utilisateur Par conséquent, la structure de base de données peut aussi être lue et modifié avec des requêtes SQL. => Critique 5

6 Injection SQL La capacité d'injecter des commandes SQL dans le moteur de base de données grâce à une application existante Causes des injections SQL : Une requête SQL générée en composant «naïvement» les données reçues des utilisateurs d une application. Aucune vérification n est effectuée sur les données OU Vérification médiocre 6

7 Les objectifs des injections SQL peuvent être multiples: Accéder à des données auxquelles on ne devrait pas avoir accès, Modifier des données, Effacer des données, Injection SQL Lire/écrire sur le système de fichier, Exécuter des commandes systèmes. 7

8 Injection SQL Préparation de l attaque: Identifier des paramètres injectables Identifier le type et la version du SGBDR Déterminer le schéma de la base de données (noms de table, noms de colonne, types de données des colonnes etc.) 8

9 Injection SQL Types d injection SQL: Injections SQL classiques Injections SQL de requêtes d union Injections SQL aveugles 9

10 Injection SQL 1 ère étape: Comprendre quand l application se connecte à un serveur de base de données. Exemples typiques de connexion à une BD: o Formulaires d'authentification: il ya des chances que les informations d'identification sont comparées à une BD qui contient tous les noms d'utilisateur et mots de passe o Moteurs de recherche: les chaînes présentées par l'utilisateur peuvent être utilisées dans une requête SQL qui extrait tous les documents pertinents à partir d'une BD o Sites de commerce électronique: les produits et leurs caractéristiques (prix, description, disponibilité,...) sont très susceptibles d'être stockés dans une BD 10

11 Injection SQL 2 ère étape: Préparer une liste de tous les champs de saisie dont les valeurs pourraient être utilisées dans l'élaboration d'une requête SQL. Stratégie gagnante: Tester chaque champ séparément alors que les valeurs de toutes les autres variables doivent rester constantes. Permet d identifier avec précision les paramètres qui sont vulnérables et ceux qui ne le sont pas. Essayer d interférer avec la requête et provoquer la génération d erreurs. 11

12 Injection SQL Comment détecter la présence de vulnérabilités? D abord tester les injections classiques! Test de base: Ajout d'une apostrophe (') ou d un point-virgule (;) au champs sous test o o (') : utilisée comme une marque de fin de chaîne de caractères dans une instruction SQL. (;) : utilisé pour marquer la fin d une instruction SQL. En l absence de filtres, ces caractères peuvent mener à l exécution de requêtes incorrectes et/ou générer des erreurs Les hackers adorent les messages d erreurs 12

13 Injection SQL Comment détecter la présence de vulnérabilités? Messages d erreurs «généreux» Malheureusement, les applications web sont souvent beaucoup moins bavardes «Heureusement», les techniques d injection aveugle existent 13

14 Injections SQL standards Requête SQL en arrière plan: Une attaque possible: Dans quelques systèmes, la 1 ère ligne retournée par cette requête correspond à un utilisateur administrateur! 14

15 Injections SQL standards Une requête SQL plus intelligente Deux problèmes: les parenthèses et la fonction de hachage MD5! Solutions o Les parenthèses: On s arranger pour les respecter o MD5: On s arranger pour que SQL l ignore tout simplement! /* ou bien # ou bien -- Syntax SQL commentaire 15

16 Injections SQL standards Problème: Parfois, le code d'authentification vérifie que le nombre d enregistrements retournés est exactement égal à 1 Solution: Mais comment avoir les autres enregistrements? 16

17 Injections SQL de requêtes UNION Peut-on avoir accès aux données d une table autre que celle visée par la requête? Solution: Utiliser l opérateur d union «UNION» 1 ' and 2=3 UNION SELECT (SELECT GROUP_CONCAT(column_name) FROM information_schema.columns WHERE table_name='users'),1 # 17

18 Injections SQL aveugle Comment détecter que la page est vulnérable? Une page web Requête (possible) exécutée en arrière plan SELECT title, description, body FROM items WHERE ID = 2 Es-tu vulnérable BD? and 1=2 Pas de réponse! => Potentiellement vulnérable Es-tu vraiment vulnérable BD? and 1=1 La même réponse que => Surement vulnérable On a de la chance! On sait faire la différence entre une réponse valide et une réponse non valide! 18

19 Injections SQL aveugle Soit la requête exécutée en arrière plan: Approche: Changer le code ASCII jusqu à l obtention d un résultat => passer au caractère suivant 19

20 Injections SQL aveugle Quelques fonctions utilisées: SUBSTRING (texte, debut, longueur): retourne une sous chaine de caractère débutant a la position «debut» du texte et de longueur «longueur». Si «debut» supérieure à la longueur du texte, la fonction retourne la valeur nulle. ASCII (char): retourne le code ASCII du caractère en paramètre «char». Si le caractère est 0, la valeur null est retournée. LENGTH (text):donne la longueur en nombre de caractères de la chaine en paramètre «text». 20

21 Injections SQL aveugle Mais si la page web est vraiment opaque!!! Timing attack : des fonctions qui consomment du temps! Example: combiner: Injection de SELECT IF(expression, op1, op2) Si expression est évaluée à true alors op1 s exécute BENCHMARK( ,ENCODE('MSG','by 5 seconds')) exécute fois la fonction ENCODE. En fonction de la performance du SGBDR et de sa charge, les répétitions devrait influer le temps de réponse du serveur Example d utilisation: 1 UNION SELECT IF (SUBSTRING(user_passord,1,1) = CHAR(50), BENCHMARK( ,ENCODE('MSG','by 5 seconds')), null) FROM users WHERE user_id = 1; Si la réponse du serveur à cette requête prend beaucoup de temps, l attaquant présumerait que le premier caractère du password pour user_id = 1 est effectivement le caractère 2. 21

22 Outils SQLDumper: Outil automatique 22

23 Démo Configuration XAMPP XAMPP est un kit pour l installation du serveur web Apache avec le système de base de données MySQL et le support des script PHP et Perl. DVWA Une application web PHP / MySQL vulnérable. Principal objectif est d aider à la compréhension et à la pratique de la sécurité des applications Web. 23

24 Démo: Injection SQL 24

25 Démo: Injection SQL Requête SQL en arrière plan: Attaque sur le champs «User ID». 25

26 Test Injection SQL %%%%%%%%%%%%%%%%TEST1%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1+1 ou bien 1%2b1 %%%%%%%%%%%%%%%TEST2%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1 ' or 1=1 # %%%%%%%%%%%%%%TEST3%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1 ' and '1'='2' # %%%%%%%%%%%%%%%TEST4%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1 ' and '1'='2' union select 1 # 1 ' and 1=2 union select 1,2 # %%%%%%%%%%%%%%TEST5%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1 ' and 2=3 union select database(),user() # %%%%%%%%%%%%%%TEST6%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1 ' and 2=3 union select (select group_concat(column_name) from information_schema.columns where table_schema=database()),1 # %%%%%%TEST7%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1 ' and 2=3 union select (select group_concat(table_name) from information_schema.tables where table_schema!='mysql' and table_schema!='information_schema'),1 # %%%%%%TEST8%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1 ' and 2=3 union select (select group_concat(column_name) from information_schema.columns where table_name='users'),1 # %%%%%%TEST9%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1 ' and 2=3 union select (select password from users where first_name='admin'),1 # %%%%%%TEST10 %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% 1 ' and 2=3 union select (select group_concat(user_id,0x2c,first_name,0x2c,last_name, 0x2c,user,0x2c,password,0x2c,avatar,0x0a) from users),1 # 26

27 Références l-syntax.html 27

28 28