SQL-инъекция

Категория OWASP: MASVS-CODE: Качество кода

Обзор

SQL-инъекция использует уязвимые приложения, вставляя код в операторы SQL для доступа к базовым базам данных за пределами их намеренно открытых интерфейсов. Атака может раскрыть частные данные, повредить содержимое базы данных и даже поставить под угрозу внутреннюю инфраструктуру.

SQL может быть уязвим для внедрения через запросы, которые создаются динамически путем объединения пользовательского ввода перед выполнением. Ориентированная на веб-сайты, мобильные устройства и любые приложения баз данных SQL, SQL-инъекция обычно входит в десятку веб-уязвимостей OWASP . Злоумышленники использовали эту технику в нескольких громких нарушениях.

В этом базовом примере неэкранированный ввод пользователя в поле номера заказа может быть вставлен в строку SQL и интерпретирован как следующий запрос:

SELECT * FROM users WHERE email = 'example@example.com' AND order_number = '251542'' LIMIT 1

Такой код вызовет синтаксическую ошибку базы данных в веб-консоли, что указывает на то, что приложение может быть уязвимо для SQL-инъекций. Замена номера заказа на 'OR 1=1– означает, что аутентификация может быть достигнута, поскольку база данных оценивает оператор как True , поскольку единица всегда равна единице.

Аналогично, этот запрос возвращает все строки из таблицы:

SELECT * FROM purchases WHERE email='admin@app.com' OR 1=1;

Поставщики контента

Поставщики контента предлагают структурированный механизм хранения, который можно ограничить приложением или экспортировать для совместного использования с другими приложениями. Разрешения должны устанавливаться по принципу наименьших привилегий; экспортированный ContentProvider может иметь одно указанное разрешение на чтение и запись.

Стоит отметить, что не все SQL-инъекции приводят к эксплуатации. Некоторые поставщики контента уже предоставляют читателям полный доступ к базе данных SQLite; возможность выполнять произвольные запросы дает мало преимуществ. К шаблонам, которые могут представлять проблему безопасности, относятся:

  • Несколько поставщиков контента совместно используют один файл базы данных SQLite.
    • В этом случае каждая таблица может быть предназначена для уникального поставщика контента. Успешная SQL-инъекция в одном поставщике контента предоставит доступ к любым другим таблицам.
  • Поставщик контента имеет несколько разрешений на контент в одной базе данных.
    • Внедрение SQL-кода в одного поставщика контента, который предоставляет доступ с разными уровнями разрешений, может привести к локальному обходу настроек безопасности или конфиденциальности.

Влияние

SQL-инъекция может раскрыть конфиденциальные данные пользователя или приложения, обойти ограничения аутентификации и авторизации и сделать базы данных уязвимыми для повреждения или удаления. Последствия могут включать в себя опасные и долгосрочные последствия для пользователей, чьи личные данные были раскрыты. Поставщики приложений и услуг рискуют потерять интеллектуальную собственность или доверие пользователей.

Смягчения

Сменные параметры

С использованием ? в качестве заменяемого параметра в предложениях выбора и отдельного массива аргументов выбора привязывается пользовательский ввод непосредственно к запросу, а не интерпретируется как часть оператора SQL.

Котлин

// Constructs a selection clause with a replaceable parameter.
val selectionClause = "var = ?"

// Sets up an array of arguments.
val selectionArgs: Array<String> = arrayOf("")

// Adds values to the selection arguments array.
selectionArgs[0] = userInput

Ява

// Constructs a selection clause with a replaceable parameter.
String selectionClause =  "var = ?";

// Sets up an array of arguments.
String[] selectionArgs = {""};

// Adds values to the selection arguments array.
selectionArgs[0] = userInput;

Пользовательский ввод привязывается непосредственно к запросу, а не обрабатывается как SQL, что предотвращает внедрение кода.

Вот более подробный пример, показывающий запрос приложения для покупок на получение сведений о покупке с заменяемыми параметрами:

Котлин

fun validateOrderDetails(email: String, orderNumber: String): Boolean {
    val cursor = db.rawQuery(
        "select * from purchases where EMAIL = ? and ORDER_NUMBER = ?",
        arrayOf(email, orderNumber)
    )

    val bool = cursor?.moveToFirst() ?: false
    cursor?.close()

    return bool
}

Ява

public boolean validateOrderDetails(String email, String orderNumber) {
    boolean bool = false;
    Cursor cursor = db.rawQuery(
      "select * from purchases where EMAIL = ? and ORDER_NUMBER = ?", 
      new String[]{email, orderNumber});
    if (cursor != null) {
        if (cursor.moveToFirst()) {
            bool = true;
        }
        cursor.close();
    }
    return bool;
}

Используйте объекты ReadedStatement.

Интерфейс PreparedStatement предварительно компилирует операторы SQL как объект, который затем можно эффективно выполнять несколько раз. ReadedStatement использует ? в качестве заполнителя для параметров, что сделает следующую скомпилированную попытку внедрения неэффективной:

WHERE id=295094 OR 1=1;

В этом случае оператор 295094 OR 1=1 считывается как значение ID и, скорее всего, не дает результатов, тогда как необработанный запрос интерпретирует оператор OR 1=1 как еще одну часть предложения WHERE . В примере ниже показан параметризованный запрос:

Котлин

val pstmt: PreparedStatement = con.prepareStatement(
        "UPDATE EMPLOYEES SET ROLE = ? WHERE ID = ?").apply {
    setString(1, "Barista")
    setInt(2, 295094)
}

Ява

PreparedStatement pstmt = con.prepareStatement(
                                "UPDATE EMPLOYEES SET ROLE = ? WHERE ID = ?");
pstmt.setString(1, "Barista")   
pstmt.setInt(2, 295094)

Используйте методы запроса

В этом более длинном примере selection и selectionArgs метода query() объединяются, образуя предложение WHERE . Поскольку аргументы предоставляются отдельно, они экранируются перед их комбинацией, что предотвращает внедрение SQL.

Котлин

val db: SQLiteDatabase = dbHelper.getReadableDatabase()
// Defines a projection that specifies which columns from the database
// should be selected.
val projection = arrayOf(
    BaseColumns._ID,
    FeedEntry.COLUMN_NAME_TITLE,
    FeedEntry.COLUMN_NAME_SUBTITLE
)

// Filters results WHERE "title" = 'My Title'.
val selection: String = FeedEntry.COLUMN_NAME_TITLE.toString() + " = ?"
val selectionArgs = arrayOf("My Title")

// Specifies how to sort the results in the returned Cursor object.
val sortOrder: String = FeedEntry.COLUMN_NAME_SUBTITLE.toString() + " DESC"

val cursor = db.query(
    FeedEntry.TABLE_NAME,  // The table to query
    projection,            // The array of columns to return
                           //   (pass null to get all)
    selection,             // The columns for the WHERE clause
    selectionArgs,         // The values for the WHERE clause
    null,                  // Don't group the rows
    null,                  // Don't filter by row groups
    sortOrder              // The sort order
).use {
    // Perform operations on the query result here.
    it.moveToFirst()
}

Ява

SQLiteDatabase db = dbHelper.getReadableDatabase();
// Defines a projection that specifies which columns from the database
// should be selected.
String[] projection = {
    BaseColumns._ID,
    FeedEntry.COLUMN_NAME_TITLE,
    FeedEntry.COLUMN_NAME_SUBTITLE
};

// Filters results WHERE "title" = 'My Title'.
String selection = FeedEntry.COLUMN_NAME_TITLE + " = ?";
String[] selectionArgs = { "My Title" };

// Specifies how to sort the results in the returned Cursor object.
String sortOrder =
    FeedEntry.COLUMN_NAME_SUBTITLE + " DESC";

Cursor cursor = db.query(
    FeedEntry.TABLE_NAME,   // The table to query
    projection,             // The array of columns to return (pass null to get all)
    selection,              // The columns for the WHERE clause
    selectionArgs,          // The values for the WHERE clause
    null,                   // don't group the rows
    null,                   // don't filter by row groups
    sortOrder               // The sort order
    );

Используйте правильно настроенный SQLiteQueryBuilder.

Разработчики могут дополнительно защитить приложения с помощью SQLiteQueryBuilder — класса, который помогает создавать запросы для отправки в объекты SQLiteDatabase . Рекомендуемые конфигурации включают в себя:

  • Режим setStrict() для проверки запроса.
  • setStrictColumns() для проверки того, что столбцы включены в список разрешенных в setProjectionMap.
  • setStrictGrammar() для ограничения подзапросов.

Использовать библиотеку комнат

Пакет android.database.sqlite предоставляет API, необходимые для использования баз данных на Android. Однако этот подход требует написания низкоуровневого кода и не требует проверки необработанных SQL-запросов во время компиляции. По мере изменения графиков данных затронутые SQL-запросы необходимо обновлять вручную — это трудоемкий и подверженный ошибкам процесс.

Решением высокого уровня является использование библиотеки Room Persistence в качестве уровня абстракции для баз данных SQLite. К особенностям номера относятся:

  • Класс базы данных, который служит основной точкой доступа для подключения к сохраненным данным приложения.
  • Сущности данных, представляющие таблицы базы данных.
  • Объекты доступа к данным (DAO), которые предоставляют методы, которые приложение может использовать для запроса, обновления, вставки и удаления данных.

К преимуществам номера относятся:

  • Проверка SQL-запросов во время компиляции.
  • Сокращение количества шаблонного кода, подверженного ошибкам.
  • Оптимизированная миграция базы данных.

Лучшие практики

SQL-инъекция — это мощная атака, против которой может быть сложно обеспечить полную устойчивость, особенно в случае больших и сложных приложений. Должны быть приняты дополнительные меры безопасности, чтобы ограничить серьезность потенциальных недостатков в интерфейсах данных, в том числе:

  • Надежные, односторонние и соленые хеши для шифрования паролей:
    • 256-битный AES для коммерческих приложений.
    • Размеры открытого ключа 224 или 256 бит для криптографии на основе эллиптических кривых.
  • Ограничение разрешений.
  • Точное структурирование форматов данных и проверка соответствия данных ожидаемому формату.
  • Избегание хранения личных или конфиденциальных пользовательских данных, где это возможно (например, реализация логики приложения путем хеширования, а не передачи или хранения данных).
  • Минимизация API и сторонних приложений, которые получают доступ к конфиденциальным данным.

Ресурсы

,

Категория OWASP: MASVS-CODE: Качество кода

Обзор

SQL-инъекция использует уязвимые приложения, вставляя код в операторы SQL для доступа к базовым базам данных за пределами их намеренно открытых интерфейсов. Атака может раскрыть личные данные, повредить содержимое базы данных и даже поставить под угрозу внутреннюю инфраструктуру.

SQL может быть уязвим для внедрения через запросы, которые создаются динамически путем объединения пользовательского ввода перед выполнением. Ориентированная на веб-сайты, мобильные устройства и любые приложения баз данных SQL, SQL-инъекция обычно входит в десятку лучших веб-уязвимостей OWASP . Злоумышленники использовали эту технику в нескольких громких нарушениях.

В этом базовом примере неэкранированный ввод пользователя в поле номера заказа может быть вставлен в строку SQL и интерпретирован как следующий запрос:

SELECT * FROM users WHERE email = 'example@example.com' AND order_number = '251542'' LIMIT 1

Такой код вызовет синтаксическую ошибку базы данных в веб-консоли, что указывает на то, что приложение может быть уязвимо для SQL-инъекции. Замена номера заказа на 'OR 1=1– означает, что аутентификация может быть достигнута, поскольку база данных оценивает оператор как True , поскольку единица всегда равна единице.

Аналогично, этот запрос возвращает все строки из таблицы:

SELECT * FROM purchases WHERE email='admin@app.com' OR 1=1;

Поставщики контента

Поставщики контента предлагают структурированный механизм хранения, который можно ограничить приложением или экспортировать для совместного использования с другими приложениями. Разрешения должны устанавливаться по принципу наименьших привилегий; экспортированный ContentProvider может иметь одно указанное разрешение на чтение и запись.

Стоит отметить, что не все SQL-инъекции приводят к эксплуатации. Некоторые поставщики контента уже предоставляют читателям полный доступ к базе данных SQLite; возможность выполнять произвольные запросы дает мало преимуществ. К шаблонам, которые могут представлять проблему безопасности, относятся:

  • Несколько поставщиков контента совместно используют один файл базы данных SQLite.
    • В этом случае каждая таблица может быть предназначена для уникального поставщика контента. Успешная SQL-инъекция в одном поставщике контента предоставит доступ к любым другим таблицам.
  • Поставщик контента имеет несколько разрешений на контент в одной базе данных.
    • Внедрение SQL-кода в одного поставщика контента, который предоставляет доступ с разными уровнями разрешений, может привести к локальному обходу настроек безопасности или конфиденциальности.

Влияние

SQL-инъекция может раскрыть конфиденциальные данные пользователя или приложения, обойти ограничения аутентификации и авторизации и сделать базы данных уязвимыми для повреждения или удаления. Последствия могут включать в себя опасные и долгосрочные последствия для пользователей, чьи личные данные были раскрыты. Поставщики приложений и услуг рискуют потерять интеллектуальную собственность или доверие пользователей.

Смягчения

Сменные параметры

С использованием ? в качестве заменяемого параметра в предложениях выбора и отдельного массива аргументов выбора привязывается пользовательский ввод непосредственно к запросу, а не интерпретируется как часть оператора SQL.

Котлин

// Constructs a selection clause with a replaceable parameter.
val selectionClause = "var = ?"

// Sets up an array of arguments.
val selectionArgs: Array<String> = arrayOf("")

// Adds values to the selection arguments array.
selectionArgs[0] = userInput

Ява

// Constructs a selection clause with a replaceable parameter.
String selectionClause =  "var = ?";

// Sets up an array of arguments.
String[] selectionArgs = {""};

// Adds values to the selection arguments array.
selectionArgs[0] = userInput;

Пользовательский ввод привязывается непосредственно к запросу, а не обрабатывается как SQL, что предотвращает внедрение кода.

Вот более подробный пример, показывающий запрос приложения для покупок на получение сведений о покупке с заменяемыми параметрами:

Котлин

fun validateOrderDetails(email: String, orderNumber: String): Boolean {
    val cursor = db.rawQuery(
        "select * from purchases where EMAIL = ? and ORDER_NUMBER = ?",
        arrayOf(email, orderNumber)
    )

    val bool = cursor?.moveToFirst() ?: false
    cursor?.close()

    return bool
}

Ява

public boolean validateOrderDetails(String email, String orderNumber) {
    boolean bool = false;
    Cursor cursor = db.rawQuery(
      "select * from purchases where EMAIL = ? and ORDER_NUMBER = ?", 
      new String[]{email, orderNumber});
    if (cursor != null) {
        if (cursor.moveToFirst()) {
            bool = true;
        }
        cursor.close();
    }
    return bool;
}

Используйте объекты ReadedStatement.

Интерфейс PreparedStatement предварительно компилирует операторы SQL как объект, который затем можно эффективно выполнять несколько раз. ReadedStatement использует ? в качестве заполнителя для параметров, что сделает следующую скомпилированную попытку внедрения неэффективной:

WHERE id=295094 OR 1=1;

В этом случае оператор 295094 OR 1=1 считывается как значение ID и, скорее всего, не дает результатов, тогда как необработанный запрос интерпретирует оператор OR 1=1 как еще одну часть предложения WHERE . В примере ниже показан параметризованный запрос:

Котлин

val pstmt: PreparedStatement = con.prepareStatement(
        "UPDATE EMPLOYEES SET ROLE = ? WHERE ID = ?").apply {
    setString(1, "Barista")
    setInt(2, 295094)
}

Ява

PreparedStatement pstmt = con.prepareStatement(
                                "UPDATE EMPLOYEES SET ROLE = ? WHERE ID = ?");
pstmt.setString(1, "Barista")   
pstmt.setInt(2, 295094)

Используйте методы запроса

В этом более длинном примере selection и selectionArgs метода query() объединяются, образуя предложение WHERE . Поскольку аргументы предоставляются отдельно, они экранируются перед их комбинацией, что предотвращает внедрение SQL.

Котлин

val db: SQLiteDatabase = dbHelper.getReadableDatabase()
// Defines a projection that specifies which columns from the database
// should be selected.
val projection = arrayOf(
    BaseColumns._ID,
    FeedEntry.COLUMN_NAME_TITLE,
    FeedEntry.COLUMN_NAME_SUBTITLE
)

// Filters results WHERE "title" = 'My Title'.
val selection: String = FeedEntry.COLUMN_NAME_TITLE.toString() + " = ?"
val selectionArgs = arrayOf("My Title")

// Specifies how to sort the results in the returned Cursor object.
val sortOrder: String = FeedEntry.COLUMN_NAME_SUBTITLE.toString() + " DESC"

val cursor = db.query(
    FeedEntry.TABLE_NAME,  // The table to query
    projection,            // The array of columns to return
                           //   (pass null to get all)
    selection,             // The columns for the WHERE clause
    selectionArgs,         // The values for the WHERE clause
    null,                  // Don't group the rows
    null,                  // Don't filter by row groups
    sortOrder              // The sort order
).use {
    // Perform operations on the query result here.
    it.moveToFirst()
}

Ява

SQLiteDatabase db = dbHelper.getReadableDatabase();
// Defines a projection that specifies which columns from the database
// should be selected.
String[] projection = {
    BaseColumns._ID,
    FeedEntry.COLUMN_NAME_TITLE,
    FeedEntry.COLUMN_NAME_SUBTITLE
};

// Filters results WHERE "title" = 'My Title'.
String selection = FeedEntry.COLUMN_NAME_TITLE + " = ?";
String[] selectionArgs = { "My Title" };

// Specifies how to sort the results in the returned Cursor object.
String sortOrder =
    FeedEntry.COLUMN_NAME_SUBTITLE + " DESC";

Cursor cursor = db.query(
    FeedEntry.TABLE_NAME,   // The table to query
    projection,             // The array of columns to return (pass null to get all)
    selection,              // The columns for the WHERE clause
    selectionArgs,          // The values for the WHERE clause
    null,                   // don't group the rows
    null,                   // don't filter by row groups
    sortOrder               // The sort order
    );

Используйте правильно настроенный SQLiteQueryBuilder.

Разработчики могут дополнительно защитить приложения с помощью SQLiteQueryBuilder — класса, который помогает создавать запросы для отправки в объекты SQLiteDatabase . Рекомендуемые конфигурации включают в себя:

  • Режим setStrict() для проверки запроса.
  • setStrictColumns() для проверки того, что столбцы включены в список разрешенных в setProjectionMap.
  • setStrictGrammar() для ограничения подзапросов.

Использовать библиотеку комнат

Пакет android.database.sqlite предоставляет API, необходимые для использования баз данных на Android. Однако этот подход требует написания низкоуровневого кода и не требует проверки необработанных SQL-запросов во время компиляции. По мере изменения графиков данных затронутые SQL-запросы необходимо обновлять вручную — это трудоемкий и подверженный ошибкам процесс.

Решением высокого уровня является использование библиотеки Room Persistence в качестве уровня абстракции для баз данных SQLite. К особенностям номера относятся:

  • Класс базы данных, который служит основной точкой доступа для подключения к сохраненным данным приложения.
  • Сущности данных, представляющие таблицы базы данных.
  • Объекты доступа к данным (DAO), которые предоставляют методы, которые приложение может использовать для запроса, обновления, вставки и удаления данных.

К преимуществам номера относятся:

  • Проверка SQL-запросов во время компиляции.
  • Сокращение количества шаблонного кода, подверженного ошибкам.
  • Оптимизированная миграция базы данных.

Лучшие практики

SQL-инъекция — это мощная атака, против которой может быть сложно обеспечить полную устойчивость, особенно в случае больших и сложных приложений. Должны быть приняты дополнительные меры безопасности, чтобы ограничить серьезность потенциальных недостатков в интерфейсах данных, в том числе:

  • Надежные, односторонние и соленые хеши для шифрования паролей:
    • 256-битный AES для коммерческих приложений.
    • Размеры открытого ключа 224 или 256 бит для криптографии на основе эллиптических кривых.
  • Ограничение разрешений.
  • Точное структурирование форматов данных и проверка соответствия данных ожидаемому формату.
  • Избегание хранения личных или конфиденциальных пользовательских данных, где это возможно (например, реализация логики приложения путем хеширования, а не передачи или хранения данных).
  • Минимизация API и сторонних приложений, которые получают доступ к конфиденциальным данным.

Ресурсы