FixVibe
Covered by FixVibecritical

SQL Injection: მონაცემთა ბაზის არაავტორიზებული წვდომის პრევენცია

SQL ინექცია (SQLi) არის კრიტიკული დაუცველობა, სადაც თავდამსხმელები ერევიან აპლიკაციის მონაცემთა ბაზის შეკითხვებს. მავნე SQL სინტაქსის შეყვანით, თავდამსხმელებს შეუძლიათ აუთენტიფიკაციის გვერდის ავლით, ნახონ მგრძნობიარე მონაცემები, როგორიცაა პაროლები და საკრედიტო ბარათის დეტალები, ან თუნდაც ძირეული სერვერის კომპრომეტირება.

CWE-89

SQL ინექციის გავლენა

SQL ინექცია (SQLi) საშუალებას აძლევს თავდამსხმელს ჩაერიოს შეკითხვებში, რომელსაც აპლიკაცია უგზავნის მონაცემთა ბაზას [S1]. პირველადი ზემოქმედება მოიცავს არაავტორიზებული წვდომას სენსიტიურ მონაცემებზე, როგორიცაა მომხმარებლის პაროლები, საკრედიტო ბარათის დეტალები და პერსონალური ინფორმაცია [S1].

მონაცემთა ქურდობის გარდა, თავდამსხმელებს ხშირად შეუძლიათ მონაცემთა ბაზის ჩანაწერების შეცვლა ან წაშლა, რაც იწვევს აპლიკაციის ქცევის მუდმივ ცვლილებებს ან მონაცემთა დაკარგვას [S1]. მაღალი სიმძიმის შემთხვევებში, SQLi შეიძლება გაფართოვდეს უკანა ბოლო ინფრასტრუქტურის კომპრომეტირებისთვის, სერვისზე უარის თქმის შეტევების გასააქტიურებლად ან ორგანიზაციის სისტემებში მუდმივი უკანა კარის უზრუნველსაყოფად [S1]ZXCVFIXZVIBETOKEN2.

ძირეული მიზეზი: შეყვანის არაუსაფრთხო მართვა

SQL ინექციის ძირითადი მიზეზი არის სპეციალური ელემენტების არასწორი განეიტრალება, რომლებიც გამოიყენება SQL ბრძანებაში [S2]. ეს ხდება მაშინ, როდესაც აპლიკაცია აყალიბებს SQL შეკითხვებს გარე გავლენის ქვეშ მყოფი შეყვანის პირდაპირ შეკითხვის სტრიქონში [S1][S2].

იმის გამო, რომ შეყვანა არ არის სათანადოდ იზოლირებული მოთხოვნის სტრუქტურისგან, მონაცემთა ბაზის ინტერპრეტენტმა შეიძლება შეასრულოს მომხმარებლის შეყვანის ნაწილები, როგორც SQL კოდი, ვიდრე განიხილოს იგი როგორც პირდაპირი მონაცემები [S2]. ეს დაუცველობა შეიძლება გამოვლინდეს მოთხოვნის სხვადასხვა ნაწილში, მათ შორის SELECT განცხადებებში, INSERT მნიშვნელობებში ან UPDATE განცხადებებში [S1].

კონკრეტული შესწორებები და შერბილებები

გამოიყენეთ პარამეტრიზებული მოთხოვნები

SQL ინექციის თავიდან აცილების ყველაზე ეფექტური გზაა პარამეტრიზებული მოთხოვნების გამოყენება, ასევე ცნობილი როგორც მომზადებული განცხადებები [S1]. სტრიქონების შეერთების ნაცვლად, დეველოპერებმა უნდა გამოიყენონ სტრუქტურირებული მექანიზმები, რომლებიც განახორციელებენ მონაცემთა და კოდის გამოყოფას [S2].

მინიმალური პრივილეგიის პრინციპი

აპლიკაციები უნდა დაუკავშირდნენ მონაცემთა ბაზას მათი ამოცანებისთვის საჭირო ყველაზე დაბალი პრივილეგიების გამოყენებით [S2]. ვებ აპლიკაციის ანგარიშს არ უნდა ჰქონდეს ადმინისტრაციული პრივილეგიები და უნდა შემოიფარგლოს მისი ფუნქციისთვის საჭირო კონკრეტული ცხრილებით ან ოპერაციებით [S2].

შეყვანის ვალიდაცია და კოდირება

მიუხედავად იმისა, რომ არ არის პარამეტრიზაციის ჩანაცვლება, შეყვანის ვალიდაცია უზრუნველყოფს სიღრმისეულ დაცვას [S2]. აპლიკაციებმა უნდა გამოიყენონ მიღებულ-ცნობილ-კარგი სტრატეგია, რომელიც ადასტურებს, რომ შეყვანა შეესაბამება მოსალოდნელ ტიპებს, სიგრძეს და ფორმატებს [S2].

როგორ ამოწმებს მას FixVibe

FixVibe უკვე ფარავს SQL ინექციას დახურული active.sqli სკანერის მოდულის მეშვეობით. აქტიური სკანირება ხორციელდება მხოლოდ დომენის საკუთრების დადასტურებისა და ატესტაციის შემდეგ. შემოწმება იკვლევს იმავე წარმოშობის GET ბოლო წერტილებს შეკითხვის პარამეტრებით, ადგენს საბაზისო პასუხს, ეძებს SQL-ს სპეციფიკურ ლოგიკურ ანომალიებს და აცნობებს აღმოჩენას მხოლოდ დროის დადასტურების შემდეგ მრავალჯერადი დაყოვნების სიგრძეზე. საცავის სკანირება ასევე ხელს უწყობს ძირეული მიზეზის ადრე დადგენას code.web-app-risk-checklist-backfill-ის მეშვეობით, რომელიც ასახავს შაბლონის ინტერპოლაციით აგებულ დაუმუშავებელ SQL ზარებს.