Czym jest SQL Injection (SQLi)?

SQL Injection (SQLi) to rodzaj ataku, w którym atakujący wprowadza złośliwe polecenie SQL do pola wejściowego, aby manipulować bazą danych.

Ten atak jest skierowany na aplikacje, które nieprawidłowo obsługują walidację i dane wejściowe użytkownika, co pozwala na nieautoryzowany dostęp do wrażliwych danych, takich jak hasła czy dane kart kredytowych.

Jak działa SQL Injection

Gdy aplikacja bezpośrednio uwzględnia dane wejściowe użytkownika w zapytaniu do bazy danych bez odpowiedniej walidacji, atakujący mogą zmodyfikować zachowanie zapytania, wprowadzając złośliwe polecenie SQL.

Na przykład:

SELECT * FROM users WHERE username = 'admin' AND password = '12345';

Atakujący mógłby wprowadzić:

' OR '1'='1

Co skutkuje:

SELECT * FROM users WHERE username = '' OR '1'='1' AND password = '';

To zawsze zwraca prawda, umożliwiając nieautoryzowany dostęp.

Dlaczego SQL Injection ma znaczenie w cyberbezpieczeństwie

SQL Injection jest najniebezpieczniejszą i najstarszą techniką w cyberbezpieczeństwie. Ten rodzaj ataku jest konsekwentnie wymieniany w OWASP Top 10.

Nawet małe podatności pozwalają atakującemu na:

• Dostęp, modyfikacja lub usuwanie danych
• Omijanie uwierzytelniania
• Wykonywanie operacji administracyjnych na bazie danych.
• Kompromitacja całego systemu.

Typowe rodzaje ataków SQL Injection

• Klasyczny SQLi: Bezpośrednia iniekcja przez formularze internetowe lub parametry URL.
• Blind SQLi: Atakujący pośrednio wnioskują o informacjach z bazy danych (np. poprzez komunikaty o błędach lub czas odpowiedzi).
• Union-based SQLi: Wykorzystuje operator UNION do łączenia wyników z wielu zapytań.
• Error-based SQLi: Polega na komunikatach o błędach bazy danych do wyciągania informacji.
• Time-based Blind SQLi: Wykorzystuje opóźnienia w odpowiedzi serwera do zgadywania wyników zapytań.

Jak zapobiegać atakom SQL Injection

1. Używaj zapytań parametryzowanych (przygotowanych instrukcji)

Zapewnij, że polecenia SQL traktują dane wejściowe użytkownika jako dane, a nie kod wykonywalny.

cursor.execute("SELECT * FROM users WHERE username = ?", (username,))

2. Walidacja i sanitacja danych wejściowych

Waliduj wszystkie dane wejściowe od użytkowników, pozwalając tylko na oczekiwane znaki.

3. Używaj frameworków ORM

Frameworki takie jak Prisma, Hibernate itp. redukują bezpośrednią obsługę SQL.

4. Zasada najmniejszych uprawnień

Ograniczaj uprawnienia użytkowników, przyznając tylko te, które są potrzebne.

5. Regularne testy bezpieczeństwa

Używaj narzędzi do testowania bezpieczeństwa aplikacji, takich jak SAST, DAST lub IAST, aby wcześnie wykrywać wady związane z iniekcją.

Przykład w rzeczywistym świecie

Strona internetowa sklepu online doświadczyła naruszenia bezpieczeństwa, gdzie atakujący użyli iniekcji SQL w formularzu logowania, aby wyciągnąć dane kart kredytowych z bazy danych.

Powiązane terminy

• XSS (Cross-Site Scripting)
• DAST (Dynamic Application Security Testing)
• OWASP Top 10
• Testowanie Bezpieczeństwa Aplikacji