SQL Injection

sergi_climent · #1 (**permalink**) 09/05/2008, 02:31

Hola,
hace poco mi empresa paso una auditoria de seguridad, y nos dieron el toque por la posibilidad de SQL injection, la web q hay en el servidor es puramente informativa, donde hay varias querys para mostrar unos articulos segun el usuario haya escogido.
Hay una web solamente interna, no de uso publico, para el mantenimineto de articulos. donde ya pide un usuario y una contraseña, pero ese usuario y esa contraseña no se guardan en ninguna base de datos, sino q en el mismo codigo ya controla quien entra, y como he dicho no es d dominio publico sino q es solamente de uso interno.

Puede un usuario malintencionado hacer algo en mi pagina web?
cambiarme los articulos por ejemplo?
a titulo de seguridad, como afecta esto?
Como podria evitar el SQL Injection q me ha dicho la auditoria esta?

Saludos y gracias de antemano!

bufom · #2 (**permalink**) 09/05/2008, 10:25

Con un sistema IPS_DB_MSSQL---buffer.overflow si lo puedes conseguir es buenisimo te lo recomiendo...
FIREWALL de caja
tambien es bueno que tengas todos tus parches actualizados en el SQL

suerte...

HookerSP · #3 (**permalink**) 09/05/2008, 16:30

Yo por principio no me pronuncio sobre auditorias que hacen otros, y menos con la poca información que se puede poner aqui. Habría que ver tu esquema. Lo mas que hago es recabar informacion de auditorias anteriores, pero siendo bastante discreto.

Lo que si tengo claro, es que si yo en una auditoria digo que un sistema es vulnerable a SQL Injection, les pongo un ejemplo para que vean que no me estoy inventando nada.

¿No te han dicho cómo se puede aprovechar esa supuesta vulnerabilidad?.
Un saludo
Hooker
Un saludo

sergi_climent · #4 (**permalink**) 12/05/2008, 00:40

Hola, antetodo gracias por vuestras respuestas!

La vulnerabilidad es solo q al mostrar una ficha de un producto las variables pasan por URL, es decir, www.mipagina.com/fichaproducto?codiarticulo=1003

q tampoco ser hasta q punto esto es SQLInjection ya q al recibir la varibale en la web tengo puesto
$codiarticulo= mysql_real_escape_string($_GET["codiarticulo"]);

Cita:

¿No te han dicho cómo se puede aprovechar esa supuesta vulnerabilidad?.

No, no han dicho nada, solo el analisis!

- s4n - · #5 (**permalink**) 12/05/2008, 06:43

En principio si la variable se le pasa por GET lo que podrías hacer es interceptar la petición y modificar la variable que se le pasa a la base de datos metiendo comando SQL directamente como por ejemplo http://www.mipagina.com/fichaproduct...lo=1003'Or 1=1-- con lo que el resultado sería siempre cierto y te mostraría el listado completo de los artículos que se le puedan pasar a la variable codiarticulo, si el servidor es vulnerable a este tipo de ataques, podrías llegar a enumerar la base de datos completa y si mostrara alguna ruta al servidor en algún error tipo SQL que se muestre por pantalla pues peor jeje.

Para evitar este tipo de ataques lo primero que se suele hacer es filtrar a nivel web, con scripts que puedes crear o directamente bajarte de apache o iis los caracteres(',*,%,=,-,+ etc etc) seguro que puedes encontrar cómo hacerlo en la web del fabricante que hayas escogido, fortificación del serivdor o del código. Si el atacante mete algún caracter de este tipo se le redirige a una página de error estática y simple con un mensaje de advertencia o diciendole que ese tipo de caracteres no se aceptan.

De todas formas hay muchisima documentación de inyección SQL y Blind SQL (de forma ciega)

Lo que también como a todos me parece extraño es que NO te hayan echo un informe con vulnerabilidades, ejemplos y recomendaciones, es lo que se suele hacer vaya.

Un saludo.

sergi_climent · #6 (**permalink**) 12/05/2008, 09:21

Hola de nuevo, ya me estado documentando pero hay cosas q aun tengo dudas.
si yo le pasara a la pagina ficha el codigofamilia por url

Código PHP:

  <? 
if(empty($_GET["codigofamilia"]) or ($_GET["codigofamilia"]=='')){ 
    header ("Location:  /default.htm"); 
}else{ 
    $codigofamila= mysql_real_escape_string($_GET["codigofamila"]); 
    $codigoarticle = mysql_real_escape_string($_GET["codigoarticle "]); 
    //SQL 
    $qry_familia = mysql_query("SELECT * FROM familia WHERE codi_familia=$codigofamilia") 
                    or die ("Error SQL - Variable incorrecta: ".mysql_error()); 
//... (contenido web)... 
<? } ?>

con el codigo anterior q problemas puedo tener?
no podrian llegar a ver nada no? o se me escapa algo? porque si es solo ver los articulos, bueno, se muestran en la pagina principal asi q no es niguna novedad.
Podria llegar a modificar el contenido?

Saludos y gracias

sergi_climent · #7 (**permalink**) 13/05/2008, 00:31

Hola de nuevo,

alguien me podria decir si voy por el camino correcto?

Saludos y gracias

- s4n - · #8 (**permalink**) 13/05/2008, 01:23

Sergi, si no filtras los caracteres podrán seguir inyectando código y pasarlo como parámetro en la url.

sergi_climent · #9 (**permalink**) 13/05/2008, 01:52

Pero dara un error de SQL si le pone mas parametros en la URL, no?
almenos yo lo estuve provando y daba error cuando pase el tipico or 1=1 o bien cualquier tipo de valor!

Igualmente le pondre el filtro de simbolos para evitar problemas mayores... como ser q el codigo siempre va a ser numerico le puse un filtro con expresiones regulares

Código PHP:

  if(eregi("^([0-9])*$", $_GET["codigofamilia"]){.....}else{ ... }

Saludos

javierav · #10 (**permalink**) 13/05/2008, 13:38

Hola.

La expresión debe quedar así:

Código:

^[0-9]*$

El modificador uno o más debe ir junto a los corchetes. Los paréntesis en este caso sobrarían puesto que no necesitas sacar ningún valor, sólo ver si la expresión coincide.

Este tipo de comprobación es la que suelo hacer yo y supongo que con eso quedaría suficientemente filtrada la entrada. Si me equivoco, hacédmelo saber.

Saludos.