Keine Angst vor SQL Injection

.HLQH $QJVW YRU 64/ ,QMHFWLRQ Autor: Carsten Czarski, Oracle Deutschland GmbH, Mail: carsten.czarski@oracle.com 64/ ,QMHFWLRQ LVW HLQ YLHO GLVNXWLHUWHU %HJULII ZHQQ HV 64/ ,QMHFWLRQ XQG G\QDPLVFKHV 64/ XP GLH (QWZLFNOXQJ YRQ GDWHQEDQNJHVWW]WHQ :HE Die Gefahr von SQL Injection entsteht, wenn $QZHQGXQJHQ JHKW 'DUXQWHU YHUVWHKW PDQ GDV SQL-Anweisungen in der Anwendung dynamisch durch $XVKHEHOQ YRQ 6LFKHUKHLWVUHJHOQ E]Z GLH 0DQLSXODWLRQ String-Verkettung zusammengesetzt werden – also YRQ 'DWHQ GXUFK GDV (LQVFKOHXVHQ ,QML]LHUHQ YRQ "dynamisches" SQL verwendet wird. Während YHUlQGHUWHQ 64/$QZHLVXQJHQ Pre-Compiler wie Pro*C oder SQLJ ebenso wie PL/SQL einen Unterschied zwischen statischem und SQL Injection ist unabhängig von der verwendeten dynamischem SQL machen, kennen PHP, .NET oder Technologie. Ob Java/J2EE, PHP, .NET oder eine JDBC-Programmierer einen solchen Unterschied nicht – andere Technik verwendet wird, ist also egal; SQL Schließlich wird hier MHGHV SQL-Kommando als String Injection ist stets ein Thema für den Entwickler. Selbst repräsentiert und an die Datenbank gesendet. Im PHP-, wenn SQL Injection hauptsächlich im Zusammenhang .NET- oder JDBC-Umfeld ist im Grunde genommen also mit Web-Anwendungen diskutiert wird, ist es nicht nur jedes SQL dynamisch. auf diese beschränkt. 'DV *UXQGSULQ]LS YRQ 64/ ,QMHFWLRQ Im Bereich der Web-Anwendungen müssen zusätzlich die Wege betrachtet werden, wie Eingaben und Parameter vom Browser an die Anwendung übermittelt werden. x per URL x per Formular und der HTTP-Methode POST x per Cookie Bei NHLQHP dieser Wege kann der Entwickler einer Applikation die Inhalte kontrollieren, die dieser übermittelt werden. Insofern sollte man als Entwickler einer Web-Anwendung stets misstrauisch sein $EELOGXQJ  (UIROJUHLFKHU 64/ ,QMHFWLRQ$QJULII gegenüber "allem, was vom Browser kommt". Bewegt man sich durch eine Web-Anwendung, so findet man Abbildung 1 zeigt einen erfolgreichen SQL-Injection- recht häufig URL’s nach folgendem Schema: Angriff auf ein PHP-Skript. Zusätzlich zu den Mitarbeitern wird der Inhalt der Data Dictionary View http://app.firma.de/app/test.jsp?custid=9 USER_OBJECTS angezeigt – man kann sich also /LVWLQJ  85/%HLVSLHO IU HLQH :HE$QZHQGXQJ bequem im Datenbank-Schema umschauen. Dieser Artikel zeigt, wann Anwendungen für Hier ist leicht erkennbar, dass im Hintergrund eine Java- SQL Injection anfällig sind, warum das Thema gerade Server-Page arbeitet – diese bekommt den Wert 9 als bei Web-Anwendungen im Fokus steht und wie man custid übergeben. Mit dieser Information wird nun sich als Entwickler schützen kann. Die gute Nachricht wahrscheinlich eine Datenbank-Tabelle abgefragt. Die dabei ist: Beachtet man einige Grundsätze, so lässt sich Ergebnisse werden dann dem Anwender als Web-Seite die Anfälligkeit einer Anwendung für SQL-Injection- präsentiert. Angriffe erheblich verringern. In vielen Fällen, wenn die HTTP-Methode POST oder ein Cookie verwendet wird, sind die Variablen und Inhalte nicht aus der URL erkennbar. Dies bedeutet jedoch nicht, dass sich der Entwickler in Sicherheit wiegen kann. Die Namen der Variablen lassen sich anhängen und damit alle Objekte im Datenbank- leicht ermitteln, indem man sich im Browser den Schema selektieren. Seitenquelltext anzeigen lässt. Die Erstellung eines SQL Injection kann auch beim Aufruf einer PL/SQL- eigenen HTML-Formulars zur Übermittlung der Stored-Procedure auftreten. Angenommen, die im gewünschten Werte ist dann ein Leichtes. Folgenden aufgerufene Prozedur myProc nimmt einen Angenommen, die genannte JSP zeigt die vorhandenen Parameter vom Typ VARCHAR2 entgegen … Konten eines Kunden an. Listing 2 zeigt als Beispiel etwas Java-Code, wie er in der JSP vorkommen könnte. : sId = request.getParameter("id"); CallableStatement cstmt = : String sSql; con.prepareCall("{myProc("+sId+")}"); String sId; ctmt.execute(); : String sManId = "MAN01"; sId = request.getParameter("id"); /LVWLQJ  $QIlOOLJHU &RGH IU 6WRUHG 3URFHGXUHV sSql = "select name, vorname " + "from kundentabelle " + Obwohl in Listung 5 sogar die JDBC-Syntax für Stored- "where id = " + sId + " " + Procedures verwendet, ist der Code anfällig für "and mandantid = " + sManId; SQL Injection, denn auch hier findet Stringverkettung stmt = con.createStatement(sSql); statt und der HTTP-Parameter id wird ohne weitere : Prüfung übernommen. Übergibt man … /LVWLQJ  %HLVSLHOFRGH HLQHU :HE$QZHQGXQJ meinText’); Der übergebene HTTP-Parameter custid wird mit der execute immediate ’drop table MEINE_TAB’; Methode request.getParameter() ausgelesen. Der myProc(1 Wert wird anschließend in die SQL-Abfrage eingebaut /LVWLQJ  64/ ,QMHFWLRQ$QJULII DXI /LVWXQJ  und diese dann ausgeführt. Wird diese JSP nun mit einer geänderten URL … … so wird tatsächlich folgender Code ausgeführt: …/app/test.jsp?cust_id=9 or 1=1 -- : sId = request.getParameter("id"); /LVWLQJ  9HUVXFK HLQHV 64/,QMHFWLRQ$QJULIIV CallableStatement cstmt = … aufgerufen, so ändert sich damit auch die SQL- con.prepareCall("{ myProc(’meinText’); Abfrage. execute immediate 'drop table …'; myProc('1')}" Select name, vorname ); from Kundentabelle cstmt.execute(); Where id = 9 or 1=1 -– and mandantid = 1 : /LVWLQJ  64/ ,QMHFWLRQ ± DXVJHIKUWH 64/$EIUDJH /LVWLQJ  7DWVlFKOLFK DXVJHIKUWHU 3/64/&RGH Mit den Kommentarzeichen (--) wird ein eventuell Wie bereits oben erwähnt, ist das gleiche Beispiel auch nachfolgender Rest des SQL-Kommandos einfach bei Verwendung anderer Web-Technologien denkbar. auskommentiert – alle weiteren Einschränkungen fallen Skript-Sprachen wie PHP oder Perl fordern vom weg. Die Abfrage liefert nun die ganze Tabelle zurück. Entwickler besondere Aufmerksamkeit, denn sie kennen keine Daten-Typen. Aus diesem Grund nehmen PHP- 6R IXQNWLRQLHUW 64/ ,QMHFWLRQ oder Perl-Entwickler typischerweise keine Umwandlung Durch Veränderung der URL wird die Struktur und damit in numerische Daten-Typen vor, die einen gewissen der Sinn des SQL-Kommandos verändert. Denkt man Schutz vor SQL-Injection-Angriffen bieten würde. noch etwas weiter, so könnte man auch ein UNION ALL Anwendung gefordert, so PXVV mit Stringverkettung 6FKXW] GXUFK 9HUZHQGXQJ YRQ %LQG9DULDEOHQ gearbeitet werden. Ein erster, genereller Ansatz zum Schutz vor SQL- Injection-Angriffen ist die Verwendung von : Bind-Variablen. sId = request.getParameter("id"); sCol = request.