jdbc
JDBC - Injection instrukcji

Android apache-spark Java Language MySQL Oracle Database postgresql Scala Language spring SQL Microsoft SQL Server
Szukaj…


Wprowadzenie

Wstrzykiwanie SQL jest techniką wstrzykiwania kodu, używaną do atakowania aplikacji opartych na danych, w których nikczemne instrukcje SQL są wstawiane do pola wejściowego w celu wykonania (np. W celu zrzucenia zawartości bazy danych atakującemu).

W tym rozdziale porozmawiamy o tym i jego związku z oświadczeniem JDBC.

Instrukcja i SQL Injection evil

Uwaga: w tym przykładzie użyjemy DBMS PostgreSQL, ale możesz użyć dowolnego DBMS

Użyjemy bazy danych bd_test która zawiera Schema: sch_test i dwóch users tabel i test : 

CREATE TABLE sch_test.users
(
  id serial NOT NULL,
  username character varying,
  password character varying,
  CONSTRAINT utilisateur_pkey PRIMARY KEY (id)
) 

CREATE TABLE sch_test.test
(
  id serial NOT NULL,
  "column" character varying
)

Proste logowanie za pomocą wyciągu 

static String DRIVER = "org.postgresql.Driver";
static String DB_USERNAME = "postgres";
static String DB_PASSWOR = "admin";
static String DB_URL = "jdbc:postgresql://localhost:5432/bd_test";

public static void sqlInjection() {
    try {
        Class.forName(DRIVER);
        Connection connection = DriverManager.getConnection(DB_URL, DB_USERNAME, DB_PASSWOR);
        Statement statement = connection.createStatement();
        String username = "admin";
        String password = "admin";
        String query = "SELECT * FROM sch_test.users where username = '" 
                + username + "' and password = '" + password + "'";

        ResultSet result = statement.executeQuery(query);

        if (result.next()) {
            System.out.println("id = " + result.getInt("id") + " | username = "
                    + result.getString("username") + " | password = " + result.getString("password"));
        }else{
           System.out.println("Login not correct");
        }

    } catch (ClassNotFoundException | SQLException e) {
        e.printStackTrace();
    }
}

Do tej pory wszystko jest normalne i bezpieczne.

Zaloguj się przy użyciu fałszywej nazwy użytkownika i hasła

Haker lub tester może po prostu zalogować się lub wyświetlić listę wszystkich użytkowników za pomocą tego: 

String username = " ' or ''='";
String password = " ' or ''='";

WSTAW nowego użytkownika

Możesz wstawić dane do swojej tabeli używając: 

String username = "'; INSERT INTO sch_test.utilisateur(id, username, password) 
                        VALUES (2, 'hack1', 'hack2');--";
String password = "any";

USUŃ Wszyscy użytkownicy

rozważ hakera znającego schemat bazy danych, aby mógł usunąć wszystkich użytkowników 

String username = "'; DELETE FROM sch_test.utilisateur WHERE id>0;--";
String password = "any";

Użytkownicy tabeli DROP

Haker może również usunąć tabelę 

String username = "'; drop table sch_test.table2;--";
String password = "any";

DROP DATABASE

Najgorsze jest upuszczenie bazy danych 

String username = "'; DROP DATABASE bd_test;--";
String password = "any";

i jest wiele innych.

Po co to wszystko?

Wszystko to dlatego, że Statement nie jest wystarczająco bezpieczna, dlatego wykonuje zapytanie tak, jak jest, ponieważ zamiast tego zaleca się korzystanie z PreparedStatement , ponieważ jest bezpieczniejsza niż Statement .

Więcej informacji znajdziesz tutaj PreparedStatement



Modified text is an extract of the original Stack Overflow Documentation
Licencjonowany na podstawie CC BY-SA 3.0
Nie związany z Stack Overflow