SQL Injection

Vikipedi, özgür ansiklopedi
Şuraya atla: kullan, ara

SQL Injection, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan, veritabanı içeriğini kendisine aktarabilir).[1] SQL Injection, uygulamaların yazılımları içindeki bir güvenlik açığından faydalanır, örneğin, uygulamanın kullanıcı giriş bilgileri beklediği kısma SQL ifadeleri gömülür, eğer gelen verinin içeriği uygulama içerisinde filtrelenmiyorsa veya hatalı şekilde filtreleniyorsa, uygulamanın, içine gömülmüş olan kodla beraber hiçbir hata vermeden çalıştığı görülür. SQL Injection, çoğunlukla web siteleri için kullanılan bir saldırı türü olarak bilinse de SQL veritabanına dayalı tüm uygulamalarda gerçeklenebilir.

SQL injection saldırıları, saldırganların, sistemdeki kullanıcılardan birinin bilgileriyle giriş yapmasına,  mevcut verilere müdahale etmesine, bazı işlemleri iptal etmesine veya değiştirmesine, veri tabanındaki tüm verileri ifşa etmesine, veri tabanındaki tüm verileri yok etmesine, veri tabanı sunucusunda sistem yöneticisi olmasına olanak sağlar.

2012'de yapılan bir araştırmada,bir web uygulamasının ayda ortalama 4 saldırı aldığı ve perakendecilerin diğer endüstrilerden iki kat fazla saldırı aldığı görülmüştür.[2]

Tarih[değiştir | kaynağı değiştir]

SQL Injection, 1998 yılı civarında tartışılmaya başlanmıştır.[3] Örneğin, 1998'de Phrak dergisinde yayımlanan bir makalede SQL Injection'dan söz edilmiştir. [4]

Form[değiştir | kaynağı değiştir]

Açık Web Uygulaması Güvenlik Projesi kapsamında SQL Injection'ın, 2007-2010 yılları arasında Web uygulamalarında en fazla görülen 10 güvenlik açığından biri olduğu belirtilmiştir.[5] 2013'te ise yine AWUGP kapsamında, SQLI'ın web uygulamalarına en fazla yapılan saldırı olduğu kabul edildilmiştir.[6] SQL Injection'ın dört ana alt sınıfı vardır:

  • Klasik SQLI
  • Blind or Inference SQL injection
  • Veri Tabanı Yönetim Sistemi- Özel SQL injection
  • Bileşik (Compounded) SQL injection

Storm Worm salsırısı, Compounded SQLI saldırılarına bir örnektir.[11]

Bu sınıflandırma, 2010'a kadar olan SQLI saldırıları için geçerlidir.Yeni gelişmeler için sınıflandırmalar yapım aşamasındadır.[12]

Teknik uygulamaları[değiştir | kaynağı değiştir]

Çıkış (Escape) karakterlerinin yanlış filtrelenmesi[değiştir | kaynağı değiştir]

SQLI'ın bu türü, kullanıcıdan gelen veri escape karaklerlerine göre filtrelenmediği zaman, uygulamaya kullanıcı girişinden yeni SQL ifadeleri eklenmesiyle oluşur. Eklenen SQL ifadeleri, son kullanıcının veri tabanını istediği şekilde manipüle etmesine neden olur.

Aşağıdaki kod satırı, bu güvenlik açığını göstermektedir:

sorgu = "SELECT * FROM kullanicilar WHERE isim =' " + kullaniciAdi + " ';"

Yukarıdaki SQL sorgusu girilen kullancı adı bilgisine ait tüm verileri, kullanıcı tablosundan çekecek şekilde tasarlanmıştır. Sistem kullanıcı adı bekliyorken,kullanıcı adı kısmına kötü niyetli bir kullanıcı tarafından sisteme zarar verecek sql ifadeleri yazılabilir. Örneğin, "kullaniciAdi" değişkenini aşağıdaki şekilde düzenleme yapılabilir.

' or '1'='1

Bu girdi Sql ifadesinin aşağıdaki şekilde işlenmesine neden olur:

sorgu = "SELECT * FROM kullanicilar WHERE isim =' " + kullaniciAdi ' or '1' = '1 + " ';"

Sorgunun geri kalanını engellemek için yorum satırı karakterleri kullanılır. (Aşağıda üç farklı SQl yorum satırı karakteri gösterilmiştir.[13]). Üç satırın sonunda da bir boşluk bulunmaktadır.

' or '1'='1' -- 
' or '1'='1' ({ 
' or '1'='1' /* 

Saldırgan bu SQL ifadelerini, uygulamaya kullanıcı girişi olarak girerse, uygulama tabanında çalışacak sorgu aşağıdaki şekilde olur.

SELECT * FROM kullanicilar WHERE kullaniciAdi ='' or '1' = '1 + " ';

"SELECT * FROM kullanicilar WHERE isim ='' or '1' = '1 + " ';"

"SELECT * FROM kullanicilar WHERE isim = '' OR '1'='1' -- ';

SELECT * FROM kullanicilar WHERE kullaniciAdi = '' OR '1'='1' -- ';

kullaniciAdi verisi ne olursa olsun '1'='1' koşulu sağlanacağı için ve aradaki işlemin OR olmasından dolayı sorgu sonucu her zaman olumlu olacaktır. Yorum satırı karakterlerinden sonra gelen tüm karakterler yorum niteliği kazanacaktır ve onların bir önemi kalmayacaktır.

Aşağıdaki SQL ifadesindeki "kullaniciAdi" na girilen değer, kişiler tablosunun silinmesine ve kişiBilgileri tablosundaki tüm verilerin ifşa edilmesine neden olur.

a';DROP TABLE kullanıcilar; SELECT * FROM kullanıciBilgileri WHERE 't' = 't'

Bu girdi Sql ifadesinin aşağıdaki şekilde işlenmesine neden olur:

SELECT * FROM kullanicilar WHERE kullaniciAdi = 'a';DROP TABLE kullanicilar; SELECT * FROM kullaniciBilgileri WHERE 't' = 't';

Çoğu SQL sunucusu, bir çağrı ile birden fazla SQL ifadesinin yürütülmesine izin verirken, PHP'nin mysql_query () fonksiyonu gibi bazı SQL API'leri güvenlik nedenlerinden dolayı buna izin vermez. Bu durum, saldırganların farklı sorgular açmalarını engeller, ancak sorguları değiştirmelerine engel değildir.

Yanlış tip işleme (Incorrect type handling)[değiştir | kaynağı değiştir]

SQLI'ın bu türü, kullanıcı tarafından girilen alanın tür kontrolü düzgün yapılmadığında oluşur. Bir sql ifadesinde sayısal değer kullanıldığında, kullanıcının girdisinin de sayısal  değer olması gereklidir. Bu kontrol yapılmadığı zaman bir güvenlik açığı oluşur. Örneğin:

sorgu = " SELECT * FROM kullaniciBilgileri WHERE id =" + deger + "; "

Bu ifadede "id" alanına bir sayının gelmesi amaçlandığı açıktır.Ancak bir string gelmesi bekleniyorsa, son kullanıcı sql ifadesini istediği şekilde değiştirebilir.Örneğin değer yerine aşağıdaki ifade yazılırsa,

1;DROP TABLE kullanicilar

Sql ifadesi aşağıdaki şekilde olacak ve bu ifade sonucunda kullanicilar tablosu veri tabanından silinecektir.

SELECT * FROM kullaniciBilgileri WHERE id=1; DROP TABLE kullanicilar;

Blind SQL injection[değiştir | kaynağı değiştir]

Blind SQL injection, bir web uygulaması bir SQLI'na karşı açık olduğunda kullanılır, ancak sonuçları saldırgan tarafından görülemez.Güvenlik açığı bulunan sayfada veriler ifşa edilemez ama SQL ifadesinin içine gömülmüş olan mantıksal ifade nedeniyle değiştirilmiş veriler görüntülenebilir.

Koşullu yanıtlar (Conditional Responses)[değiştir | kaynağı değiştir]

Veritabanını, sıradan bir uygulamada, mantıksal bir ifadeyi değerlendirmeye zorlar. Örneğin bir kitap inceleme sitesinde, hangi kitabın görüntüleneceğini belirlemek için yandaki sorgu kullanılır. http://kitaplar.ornek.com/incelemeyiGoster.php?ID=5 URL'si sunucunun sorguyu çalıştırmasına neden olur.

SELECT * FROM kitapIncelemeleri WHERE id=Deger(ID);

Sorgu sunucuda tamamlanır. Kullanıcı veritabanının, tablonun veya alanların adlarını ve sorgu ifadesini bilmediği için bu kısımlara müdahale edemez. Sadece yukarıdaki URL'nin bir kitap incelemesi getirdiğini görür. Saldırgan, http://kitaplar.ornek.com/incelemeyiGoster.php?ID=5 OR 1 = 1 ve http://kitaplar.ornek.com/incelemeyiGoster.php?ID=5 AND 1 = 2 URL'lerini yüklediği zaman aşağıdaki sorgulara neden olabilir.

SELECT * FROM kitapIncelemeleri WHERE id='5' OR '1'='1';
SELECT * FROM kitapIncelemeleri WHERE id='5' AND '1'='2';

Bu sorgular sonucunda "1 = 1" URL'si ile orijinal inceleme sayfası geliyorsa veya "1 = 2" URL'si ile boş sayfa veya hata sayfası gönderiyorsa, sorgu büyük olasılıkla her iki durumda başarıyla geçmiştir ve site SQL injection saldırılarına açıktır. Hacker, sunucuda çalışan MySQL sürüm numarasını ortaya çıkarmak için tasarlanmış bu sorgu dizesiyle devam edebilir: http://kitaplar.ornek.com/incelemeyiGoster.php?ID=5AND substring(@@version, 1, INSTR(@@version, '.') - 1)=4.Bu sorgu sonrasında  MySQL 4 çalıştıran bir sunucuda kitap incelemesi gösterilecek diğer durumlarda boş sayfa veya hata sayfası gönderecektir. Hacker, başka bir saldırı yolu bulana kadar veya hedeflerine ulaşılıncaya kadar sunucudan daha fazla bilgi toplamak için sorgu dizeleri içinde kod kullanmaya devam edebilir.[14][15]

İkincil SQL injection (Second order SQL injection)[değiştir | kaynağı değiştir]

İkincil SQL injection, kötü amaçlı kodlar içeren değerlerin gönderilir gönderilmez yürütülmeyip, bir süre tutulduğu zaman oluşur. Uygulama SQL ifadesini doğru şekilde encode edip, geçerli SQL ifadesi olarak depo edebilir. Sonrasında SQL injectiona karşı denetimsiz olan uygulamanın başka bir kısmında, depolanan SQL ifadesi çalıştırılır. Bu saldırıyı gerçeklemek için saldırganın, gönderilen değerlerin daha sonra nasıl kullanıldığına dair daha fazla bilgiye sahip olması gerekir. Otomatik web uygulaması güvenlik tarayıcıları, bu tür bir SQL injection'ları kolaylıkla algılayamaz. Dolayısyla kötü niyetli yazılımların kodun handi kısmında olduğu manuel olarak kontrol edilmelidir.

Saldırılara karşı önlemler[değiştir | kaynağı değiştir]

SQL injection, iyi bilinen bir saldırıdır ve basit önlemlerle kolayca önlenebilir. 2015'te Talktalk'daki bariz bir SQL injection saldırısı sonrasında BBC, böyle büyük bir şirketin sql injection açıklarının bulunmasının güvenlik uzmanlarını şaşırttığını belirtti.[16]

Parametreleştirilmiş ifadeler[değiştir | kaynağı değiştir]

Çoğu uygulama geliştirme platformunda, parametre olarak kullanıcıdan gelen veri yerine parametrik ifadeler kullanılır.(placeholder veya bind variable olarak da isimlendirilirler.) Bir placeholder sadece verilen tipte veri saklar. Dolayısıyla SQL injection yalnızca ilginç (ve muhtemelen geçersiz) bir parametre değeri olarak ele alınır.

Çoğu durumda, SQL ifadesi belirlidir ve her parametre tablo olarak değil, bir skaler olarak saklanır. Kullanıcıdan gelen veri bu parametreye atanır.[17]

Kod seviyesinde zorlamak (Enforcement at the coding level)[değiştir | kaynağı değiştir]

object-relational mapping kütüphanelerini kullanmak, SQL kod yazma gereksinimini ortadan kaldırır. Etkin olan ORM kitaplığı, object-oriented koddan parametrik SQL ifadeleri üretir.

Escaping[değiştir | kaynağı değiştir]

SQL'de özel anlamları olan karakterlerden kaçınmak gereklilir. SQL DBMS, hangi karakterlerin  özel bir anlam taşıdığını açıklar ve kapsamlı bir blacklist sunar. Örneğin her parametre içindeki tek tırnak işareti('), geçerli bir SQL string literal oluşturmsk için iki tek tırnak ile değiştirilir.('') mysqli_real_escape_string();fonksiyonunu kullanarak parametrelerdern kaçınmak yaygın bir yöntemdir.

$mysqli = new mysqli('hostname', 'db_username', 'db_password', 'db_name');
$query = sprintf("SELECT * FROM `Users` WHERE UserName='%s' AND Password='%s'",
                  $mysqli->real_escape_string($username),
                  $mysqli->real_escape_string($password));
$mysqli->query($query);

Bu fonksiyon şu karakterlerin başına backslash (\) ekler. \x00, \n, \r, \, ', " \x1a. MySQL'e bir sorgu göndermeden önce veri güvenliğini sağlamak için kullanılır.[18]

PHP'de birçok vertabanı türü için birçok fonksiyon var örneğin pg_escape_string() fonsiyonu PostgreSQL için. Slash eklemek için kullanılan addslashes (string $ str) fonksiyonu escaping karakterler için kullnılır. Veri tabanında sorgulanacak karakterlerin başına  backslash (\) eklenmiş bir string döndürür. Bu karakterler tek tırnak işareti ('), çift tırnak işareti ("), backslash (\) ve NUL (NULL bayt) şeklindedir.[19]

İnput güvenliğini sağlamak için şeffaf bir katman oluşturmak hata eğilimini azaltabilir, ancak tamamen ortadan kaldırmaz.[20]

Örüntü kontrolü[değiştir | kaynağı değiştir]

Integer, float, boolean, string parametreleri, değerlerinin belirtilen tür için geçerli olup olmadığı kontrol edilebilir. Stringlerin başka paternlara göre de kontrol edilmesi gerekebilir. (tarih, UUID, sadece alfanumerik, vb.)

Veri tabanı izinleri[değiştir | kaynağı değiştir]

Web uygulamaları tarafından verilen, veri tabanında oturum açma izinlerini kısıtlamak, web uygulamalarındaki açıkları kullanan bir SQL injection saldırılarının etkinliğini azaltmaya yardımcı olabilir.

Örneğin, Microsoft SQL Server'da bir veritabanı oturum açma işleminde bazı sistem tablolarına erişim kısıtlanabilir bu sayede veritabanındaki tüm text sütunlarına JavaScript eklemeyi deneyen kötü niyetli yazılımlar sınırlandırılmış olur.

deny select on sys.sysobjects to webdatabaselogon;
deny select on sys.objects to webdatabaselogon;
deny select on sys.tables to webdatabaselogon;
deny select on sys.views to webdatabaselogon;
deny select on sys.packages to webdatabaselogon;

Dış bağlantılar[değiştir | kaynağı değiştir]

Kaynakça[değiştir | kaynağı değiştir]

  1. ^ Microsoft. "SQL Injection". Retrieved 2013-08-04. "SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker."
  2. ^ "Imperva Web Application Attack Report". 17 Nisan 2016 tarihinde kaynağından arşivlendi.
  3. ^ Sean Michael Kerner (25 Kasım 2013). "How Was SQL Injection Discovered? The researcher once known as Rain Forrest Puppy explains how he discovered the first SQL injection more than 15 years ago."
  4. ^ Jeff Forristal (Dec 25, 1998)"NT Web Technology Vulnerabilities". Phrack Magazine.(8. makale)
  5. ^ "Category:OWASP Top Ten Project". OWASP. 03-06-2011 tarihinde arşivlendi.
  6. ^ "Category:OWASP Top Ten Project" 13-08-2013 tarinde arşivlendi.
  7. ^ "WHID 2007-60: The blog of a Cambridge University security team hacked". Xiom. 03-06-2011 tarihinde arşivlendi.
  8. ^ "WHID 2009-1: Gaza conflict cyber war". Xiom.03-06-2011 tarihinde arşivlendi.
  9. ^ 18 Haziran 2009 tarihinde Arşivlendi,( Wayback Machine)
  10. ^  "Third Wave of Web Attacks Not the Last". Dark Reading. 29-07-2017 tarihinde arşivlendi.
  11. ^ Danchev, Dancho (23-01-2007. "Mind Streams of Information Security Knowledge: Social Engineering and Malware". Ddanchev.blogspot.com. 03-06-2011 tarihinde alıntılandı.
  12. ^  Deltchev, Krassen. "New Web 2.0 Attacks". B.Sc. Thesis. Ruhr-University Bochum. 18-02-2010 tarihinde arşivlendi.
  13. ^  IBM Informix Guide to SQL: Syntax. Overview of SQL Syntax > How to Enter SQL Comments, IBM
  14. ^  macd3v. "Blind SQL Injection tutorial". 6 Aralık 2012 tarihinde arşivlendi.
  15. ^ Andrey Rassokhin; Dmitry Oleksyuk. "TDSS botnet: full disclosure". 6 Aralık 2012 tarihinde arşivlendi
  16. ^  "Questions for TalkTalk - BBC News". BBC News. 25-10-2015 tarihinde arşivlendi.
  17. ^ "SQL Injection Prevention Cheat Sheet". Open Web Application Security Project.3 Mart 2012 tarihinde arşivlendi.
  18. ^  "mysqli->real_escape_string - PHP Manual". PHP.net.
  19. ^ "Addslashes - PHP Manual". PHP.net.
  20. ^ "Transparent query layer for MySQL". Robert Eisele. 8 Kasım 2010