Seguridad con el String SQL

mamon · #1 (**permalink**) 03/05/2005, 10:05

Hola, hace unos dias un patita entró a una administración de una página web desde el formulario de logueo sin saber el usuario ni password.. cómo? escribio esto:

usuario: ' or '' = '
pass: ' or '' = '

y cómo asi pudo? xq el string del SQL es algo asi:

select * from tabla where usuario = 'nombre_usuario' and pass = 'clave'

si nosotros en vez de poner en ese string nombre_usuario y clave saldria esto

select * from tabla where usuario = '' or '' = '' and pass = '' or '' = ''

y esa instruccion si es cierta.. bueno, este post no es para decirles cómo poder entrar... sino cómo no dejar que la gente entre... bueno lo que yo hago es hacer un replace de los '.. si en el loguin puso eso, hago un replace poniendo q el ' se convierta en dos '... asi no tengo problemas con eso... pero quiero saber si hay más seguridad a la hora de procesar los datos que el usuario ingresa, xq me ha dejado medio preocupado... ayer estuve como 4 horas intentando crear algo para poder entrar a alguna página que yo he creado de la misma forma como les digo... pero claro, yo hago el replace y con eso nunca pude poder entrar.. pero no sé si exista la forma.. espero que no.. pero mi post es para saber si existe alguna forma de seguridad en todo esto?

trasgukabi · #2 (**permalink**) 03/05/2005, 11:34

eso se llama SQL Injection. en el enlace "libros y manuales" de mi firma tienes un enlace a un buen libros sobre esta técnica.

en las FAQ tienes una técnica para evitarlo, pero te comento que la forma es así:
replace (entrada,"'","")

Neuron_376 · #3 (**permalink**) 03/05/2005, 12:01

Otra forma de prevencion contra eso, bueno, seria asi:

1. Siempre debes validar y limpiar los campos que estas recibiendo.

2. El usuario que usas para la conexion a la base de datos, debe tener solamente los permisos necesarios, porque ademas de hacer selects, tambien pueden hacer delete, update, etc.

3. Algo muy facil tambien, es asegurarte de que es lo que te esta regresando la consulta, tu sabes que esa consulta solamente puede regresarte 1 registro, porque es un usuario unico, entonces bien, si el resultado que obtienes es mayor de 1 registro, entonces es un ataque.

La fisosofia es que en cualquier punto de tu pagina debes estar seguro, totalmente seguro que los datos que estas manejando son exactamente lo que tu necesitas o esperas, con eso no tendras mayores problemas.

Suerte!!

Saruman · #4 (**permalink**) 03/05/2005, 12:38

Cita:

Iniciado por Neuron_376

3. Algo muy facil tambien, es asegurarte de que es lo que te esta regresando la consulta, tu sabes que esa consulta solamente puede regresarte 1 registro, porque es un usuario unico, entonces bien, si el resultado que obtienes es mayor de 1 registro, entonces es un ataque.

disculpen mi ignorancia con respecto a esto, pero es bien interesante...
supongamos que cuando hago el select del user and password del usuario que se está iniciando sesión, el recordcount me trae mas de un registro, como es que están entrando mas de uno?... si la persona que puso su clave y password presiona enter o el boton entrar y listo, deberia existir otra persona que esta entrando desde otra terminal con el mismo usuario y password.... no c si me explico bien....

saludos

trasgukabi · #5 (**permalink**) 03/05/2005, 12:44

neuron se refiere a que, por consistencia de datos, en la tabla de usuarios no puede haber más de 1 usuario con el mismo nombre. entonces la sentencia

select * from usuario where usuario='loquesea' and pwd='loquesea'

debe devolver sólo 1 registro.

si se hace una secuencia de entrada completa por SQL Injection, la salida del recordset puede ser más de un registro, con lo que ahí tenemos otra forma de controlar un ataque.

Saruman · #6 (**permalink**) 03/05/2005, 12:47

ok, gracias...
ya descargue de tus libros eso de sql injection, la verdad no c que es, pero voy a imprimirlo para leerlo con calma en mi casa...

saludos

pd. te akbo de enviar otro MP.

Muzztein · #7 (**permalink**) 03/05/2005, 13:12

la biblioteca digo yo.

jajaja

AlZuwaga · #8 (**permalink**) 03/05/2005, 13:33

select * from usuario where usuario='no existe' and pwd='no existe' or 1 = 1

te devuelve todos los registros, no sólo uno o ninguno (que son las únicas dos posibilidades aceptadas)

Saruman · #9 (**permalink**) 03/05/2005, 13:37

Cita:

Iniciado por Al Zuwaga

select * from usuario where usuario='no existe' and pwd='no existe' or 1 = 1

te devuelve todos los registros, no sólo uno o ninguno (que son las únicas dos posibilidades aceptadas)

como asi??

Muzztein · #10 (**permalink**) 03/05/2005, 13:41

y por que no mejor asa:

select pwd from usuario where usuario='loquesea'

???
y de ahi

if pwd = reuqest(pwd)

ah?

Neuron_376 · #11 (**permalink**) 03/05/2005, 16:09

Buena opcion, lo unico malo es que son 2 consultas en lugar de 1, y eso significa tener el doble de consultas a tu base de datos, y aun deja casos remotos como huecos de seguridad, pero si a ese metodo se le suma las validaciones mencionadas arriba seria de lo mejor...

Respecto a las dos consultas, bueno, muchos sitios importantes como yahoo lo hacen de esa forma para poder decir cosas como:

1. Tu nombre de usuario no existe
2. Tu contraseña no coincide con tu nombre de usuarios.

Eso no me gusta, porque rapido sabes que el usuario existe, y ya solo te falta saber la contraseña, para mi eso es malo, pero bueno, como cualquier cosa tiene ventajas y desventajas.

Bueno, suerte!!

mamon · #12 (**permalink**) 03/05/2005, 20:40

Muchas Gracias x sus comentarios.. osea las ideas son buenas.. pero yo esperaba además de tener ideas de seguridad, era alguna función del ASP que me modifique lo que el usuario a puesto de tal forma que no escriba cosas que puedan modificar el SQL Injection

AlZuwaga · #13 (**permalink**) 03/05/2005, 20:55

Cita:

Respecto a las dos consultas, bueno, muchos sitios importantes como yahoo lo hacen de esa forma para poder decir cosas como:

1. Tu nombre de usuario no existe
2. Tu contraseña no coincide con tu nombre de usuarios.

Eso no me gusta, porque rapido sabes que el usuario existe, y ya solo te falta saber la contraseña, para mi eso es malo, pero bueno, como cualquier cosa tiene ventajas y desventajas.

Esa es la basura más grande que existe!!! (bueno, creo que exageré ;)

Es decir... si alguno de los dos datos no son reales (username o password), la aplicación tiene que alertarte acerca de que "al menos un dato introducido no es correcto" (o te manda a la pu.. madre que te parió sin más explicaciones)... sin importar si el user, el pass o ambos son incorrectos... no te puede decir CUÁL fue el incorrecto... never. jamás de los jamases (y en esto no acepto ninguna opinión contraria porque, de plano, se estaría argumentando incoherentementye)

Neuron_376 · #14 (**permalink**) 03/05/2005, 21:14

Se altero AZ... jejeje, bueno, mira, lo unico que puedes decir es si el password esta mal o bien, es decir solo tienes dos mensajes posibles:

1. Tus datos de accesos no son correctos.
2. Tu password no concuerda con tu nombre de usuario.

Esto lo hicieron por muchas razones:

1. En yahoo puedes tener muchas cuentas, entonces los usuarios son "despistados" y revuelven alias con contraseñas, esto provoca muchos e-mails innecesarios a soporte de usuarios para pedir datos revueltos, entonces esos mensajes ayudan a bajar ese trafico.

2. No les importo la seguridad porque son cuentas que cualquier persona puede saber el username de otra persona, no es secreto el username de una cuenta de correo para nadie.

3. Ya existen muchos programas que hacen una validacion de e-mails que te dicen si un username al azar existe o no.

Entonces bueno, no les importo la seguridad o la informacion de mas debido a que para ellos no es una medida muy necesaria...

Pero bueno, por eso optaron por la validacion con imagenes como tercer campo de seguridad, el cual les cubria ese hueco.

Y bueno, el problema de las dos consultas se arregla facil con un StoreProcedure ya compilado etc. el cual te regresa diferentes errores facilmente...

Y bueno... despues de este comentario, aclaro, a mi sigue sin gustarme esa opcion, tambien la considero mala opcion, y bueno, a lo que queria llegar finalmente es para "mamon" (a para nombrecito hee), bueno, otra opcion para evitar errores en este caso es crear la autentificacion dentro de un StoreProceure, algo como:

on error resume next
Rs = Conn.Execute("ValidarUsuario('" & usuario & "', '" & password "'")")

if Conn.Err ..... then
//Hubo un error en la consulta .... "Solo muesta el mensaje de que el usuario y la contraseña no existen, no necesitas mas"

Entonces el StoreProcedure simplemente por recibir parametros mal marcara error y la consulta ni siquiera se ejecutara

Aun asi la funcion de limpiar y validar el ASP es buena opcion, bueno... empezamos con reglas basicas, pero que son las que necesitas, ahora tienes tambien esta opcion mas avanzada pero la mas segura como ultima barrera de seguridad.

Suerte!!

trasgukabi · #15 (**permalink**) 03/05/2005, 21:53

a lo que se refier Al es a que uno de los pasos en SQL Injection es saber el nombre de un usuario.
imaginate que hay algun administrador tan "listo" que se pone de nombre de usuario "admin". y un hacker mete admin en la caja de texto de usuario. y el programa le devuelve "contraseña inválida"....

ese hacker ya tendría la mitad del trabajo hecho...

mamon · #16 (**permalink**) 04/05/2005, 00:28

el problema no era de que si el patita pone un usuario o un password incorrecto.. o q me interesa saber cual de los dos está mal.. se fueron del tema... y Al Zuwaga... no sé xq te pones asi.. si estás hablando piedras! el roche es que si alguien mete en el formulario algun string del SQL Injection haga que el resultado sea verdadero... como en el ejemplo que puse en el primer mensaje que escribí... no te hagas de hacer el listo y lee bien ya que eres moderador no?

mamon · #17 (**permalink**) 04/05/2005, 00:29

y creo que la solución final es encriptar lo que el usuario ingresó antes de hacer la consulta.. asi máximo sale un error en el browser pero no podrá entrar jamás a nuestro site sin el usuario y password correcto o escribiendo alguna pendejada en los campos de texto

3pies · #18 (**permalink**) 04/05/2005, 03:18

Yo hago algo como esto, una vez hechos los replaces, y una vez comprobado que el usuario y el password introducidos existen en la BD:

Código:

'Si existe el registro en la base de datos...
if not rs.eof then
	'si no está vacía, o sea, que nos ha devuelto algo,
	'miraremos si es válido, con ello evitamos el ataque típico SQL
	'para lo cual hacemos una segunda comprobación
	if rs("user")=user and rs("pass")=pass then
		'que haga lo que tiene que hacer si es correcto
		'bla, bla, bla
	else
		'que haga lo que tiene que hacer si no es correcto
		'bla, bla, bla
	end if
else
	'bla, bla, bla
end if

Salu2

Muzztein · #19 (**permalink**) 04/05/2005, 08:48

Aqui hay una muestra del codigo que uso a veces para la autrentificacion de los usuarios.
Usando varias de las funciones que hay en la "biblioteca"

Código:

	iws_login		= checa_cadena(request.Form("iws_login"),1,false)
	iws_password	= checa_cadena(request.Form("iws_password"),0,false)
	
	if iws_login = false or iws_password = false then 
		response.Redirect ("../")
		termina
	end if
	
	iws_login	 = limpia_cadena(iws_login,2)
	iws_password = limpia_cadena(iws_password,2)
	
	str_sql = "select * from usrs where usrs_csq_id =" & iws_login
	
	call abre_conexion()
	xml = strtoxml(str_sql)
	call cierra_conexion()
	
	Set XmlDom = Server.CreateObject("MSXML2.DOMDocument")
	XmlDom.loadXml(XML)
	set xRow = XmlDom.getElementsByTagName("reg")
	usrs_nmb_pswd =  FieldFromNRecord(xRow.item(0),"usrs_nmb_pswd")
	Set xRow   = nothing			
	Set XmlDom = nothing
	
	usrs_nmb_pswd = iws_des_encripta(usrs_nmb_pswd)
	
	if  usrs_nmb_pswd <> iws_password then
		call mensaje("Usuario no Válido o Password Incorrecta")
		call redireccionar("../")
		call termina	
	end if

y la verdad es que molesto a la BD una sola vez.

Saruman · #20 (**permalink**) 04/05/2005, 09:02

oigan, ahora que tocan el tema, a mi me paso algo una vez con un man disque "hacker"

bueno, la cosa fue que yo hice un sistemita ahi y en la parte de login y password yo lo tengo como lo tienen ustedes aqui en el tema, disque "select * from usuarios where usuario='usuario' and password='password'"...

bueno, el login ese es para entrar a la parte administrativa del sistema y sin saberse el login y password.... me acuerdo que el %$$/(/(%"!#$ me dijo: "ahora necesito que no mires mi monitor mientras hago algo...." y entonces cuando termino de hacer su vaina el ya estaba en el panel de control del sistema y yo en el modulo de administración tengo un archivo include que si la persona no está loguiada o no es administrador o tiene los permisos necesarios entonces lo saca y lo redirige a otra pagina donde le digo que no tiene permiso y bla bla bla....

alguien me puede decir que hizo ese chu... de su madre??
hasta el dia de hoy no c... y no quiero volver a pasar por esa situación....

cuando lei el post me acorde....

gracias por leer esta anécdota....

3pies · #21 (**permalink**) 04/05/2005, 09:14

Si estaba en tu PC, es que era amiguete tuyo, ¿no?. Qué malos amigos son algunos

Ni idea de como lo hizo, pero yo impido que determinen cual es el menú de administración y los ficheros del administrador, de esta forma:

1.- No creo una carpeta llamada "admin" ni "administracion", ni similar.
2.- No creo un fichero llamado "admin.asp", ni uno llamado "administracion.asp", ni similar.
3.- No creo ningún link oculto (si pinchas en esta mini imagen transparente, llegas a la sección de administración <---- no, no hago eso).

Si nadie sabe el nombre del archivo, o la carpeta, ni sale ningún link por ningún lado, es más jodido que determinen como entrar. Lo mejor es no dar pistas.

Saruman · #22 (**permalink**) 04/05/2005, 09:20

gracias por responder 3pies

no, no es amigo mio gracias a Dios.
tampoco hago como dices disque archivos admin, administrator, administracion, etc.... pienso igual q tu.. sino que yo controlo eso por programacion que si el usuario tiene acceso a X módulo y permiso ya sea para escribri, borrar, eliminar, etc. entonces le doy acceso, pero todo por programacion... el asunto es que el pudo entrar mediante el login... como lo hizo no c... y no era en mi pc...

saludos

Neuron_376 · #23 (**permalink**) 04/05/2005, 10:41

Para trasgukabi....

Si entiendo, pero creeme que su sistema de admin no lo tienen ahi

, ademas como tedigo para el SPAM, etc, se usan programas donde tu dices esto: Existe([email protected]) --> Y te devuelve exactamente si si o si no, con toda seguridad 100%, entonces por eso les valio... AUNQUE REPITO, A MI, Y EN MI SISTEMA, NO HAGO ESO, JUSTO POR LO QUE ESTAN DICIENDO, LE AYUDAS AL HACKER A TENER EL 50% HECHO, y estar atacando, pero bueno, mi servicio no es de e-mail

, entonces ambos estilos de mensajes tienen sus ventajas y desventajas segun el tipo de servicio.

Por otra parte... MAMON...

Como te dije antes, con todo lo que se ha escrito en este tema acerca de seguridad, etc, realmente ya tienes muchas opciones para tomar la mejor solucion para tu problema, muchisima informacion, ya hasta te pusieron el codigo

... entonces no hay mas que decir, mas que al ultimo tomes un metodo.. el que te parezca mejor a ti, lo apliques hagas tus pruebas, y luego nos digas si te funciono y como lo hiciste... que de eso se trata esto, de ayudarte con soluciones, tu lo aplicas y luego pones aqui la solucion para que todos salgamos beneficiados... Suerte!!

Para ... Saruman ...

Lo que te paso debe ser algo muy parecido a lo de Mamon, revisa tu codigo y en algun punto tienes serios huecos de seguridad.

Suerte!!

Saruman · #24 (**permalink**) 04/05/2005, 10:46

Cita:

Iniciado por Neuron_376

Lo que te paso debe ser algo muy parecido a lo de Mamon, revisa tu codigo y en algun punto tienes serios huecos de seguridad.

Suerte!!

ok, yo revise y todo se ve bien....
no entiendo...

Neuron_376 · #25 (**permalink**) 04/05/2005, 10:52

Yo tampoco se... pero fijate que mamon no sabia que pasaba, todo lo miraba bien... hasta que le toco el error, entonces lo unico que te puedo recomendar es hacer muchas pruebas diferentes.

Suerte!!

Saruman · #26 (**permalink**) 04/05/2005, 10:54

sure... i will

mamon · #27 (**permalink**) 04/05/2005, 18:40

en el primer post q he puesto está la forma.. y estoy pidiendo ideas para resolver eso.. ya hay varias.. checa bien lo que hemos puesto

Saruman · #28 (**permalink**) 21/07/2005, 16:58

vuelvo con el tema nuevamente, ya que me volvió a pasar... me hackearon una pagina

bueno, resulta que la bd tiene password y todo pero estoy seguro que están entrando por el login del sistema. (donde colocas el user y password).

alguien entró al site y me cambió todo el contenido y el muy dessg.... puso su firma... DarkAngel por si lo conocen...

ok, he leído este tema unas dos veces pero no veo nada diferente para contrarrestar este mal.

alguien es tan amable de poner ejemplos para ilustrar mejor ataques por sql injection y ejemplos para evitarlos??

bueno, ya yo puse mis comentarios anteriormente en este tema pero vuelvo a insistir... alguien que me quiera ayudar...

muchas gracias!!

u_goldman · #29 (**permalink**) 21/07/2005, 17:12

Parametricen sus consultas y se acabo el SQL Injection.

Salu2,

Saruman · #30 (**permalink**) 21/07/2005, 17:13

Cita:

Iniciado por u_goldman

Parametricen sus consultas y se acabo el SQL Injection.

como?