SQL Injection
SQL Injection, veri tabanına dayalı uygulamalara saldırmak için kullanılan bir atak tekniğidir; burada saldırgan SQL dili özelliklerinden faydalanarak standart uygulama ekranındaki ilgili alana yeni SQL ifadelerini ekler. (Örneğin saldırgan, veritabanı içeriğini kendisine aktarabilir).[1] SQL Injection, uygulamaların yazılımları içindeki bir güvenlik açığından faydalanır, örneğin, uygulamanın kullanıcı giriş bilgileri beklediği kısma SQL ifadeleri gömülür, eğer gelen verinin içeriği uygulama içerisinde filtrelenmiyorsa veya hatalı şekilde filtreleniyorsa, uygulamanın, içine gömülmüş olan kodla beraber hiçbir hata vermeden çalıştığı görülür. SQL Injection, çoğunlukla web siteleri için kullanılan bir saldırı türü olarak bilinse de SQL veritabanına dayalı tüm uygulamalarda gerçeklenebilir.
SQL injection saldırıları, saldırganların, sistemdeki kullanıcılardan birinin bilgileriyle giriş yapmasına, mevcut verilere müdahale etmesine, bazı işlemleri iptal etmesine veya değiştirmesine, veri tabanındaki tüm verileri ifşa etmesine, veri tabanındaki tüm verileri yok etmesine, veri tabanı sunucusunda sistem yöneticisi olmasına olanak sağlar.
2012'de yapılan bir araştırmada,bir web uygulamasının ayda ortalama 4 saldırı aldığı ve perakendecilerin diğer endüstrilerden iki kat fazla saldırı aldığı görülmüştür.[2]
Tarih
SQL Injection, 1998 yılı civarında tartışılmaya başlanmıştır.[3] Örneğin, 1998'de Phrak dergisinde yayımlanan bir makalede SQL Injection'dan söz edilmiştir. [4]
Form
Açık Web Uygulaması Güvenlik Projesi (AWUGP)[5]'ne göre, SQL Injection (SQLI), 2007-2010 yılları arasında web uygulamalarında en fazla görülen 10 güvenlik açığından biri olduğu belirtilmiştir. 2013'te ise yine AWUGP kapsamında, SQLI'ın web uygulamalarına en fazla yapılan saldırı olduğu kabul edildilmiştir. SQL Injection'ın dört ana alt sınıfı vardır:
- Klasik SQLI
- Blind or Inference SQL injection
- Veri Tabanı Yönetim Sistemi- Özel SQL injection
- Bileşik (Compounded) SQL injection:
- SQL injection + yetersiz kimlik doğrulama [6]
- SQL injection + DDoS saldırıları [7]
- SQL injection + DNS Korsanlığı [8]
- SQL injection + XSS[9]
Storm Worm saldırısı, Compounded SQLI saldırılarına bir örnektir.[10]
Bu sınıflandırma, 2010'a kadar olan SQLI saldırıları için geçerlidir.Yeni gelişmeler için sınıflandırmalar yapım aşamasındadır.[11]
Teknik uygulamaları
Çıkış (Escape) karakterlerinin yanlış filtrelenmesi
SQLI'ın bu türü, kullanıcıdan gelen veri escape karaklerlerine göre filtrelenmediği zaman, uygulamaya kullanıcı girişinden yeni SQL ifadeleri eklenmesiyle oluşur. Eklenen SQL ifadeleri, son kullanıcının veri tabanını istediği şekilde manipüle etmesine neden olur.
Aşağıdaki kod satırı, bu güvenlik açığını göstermektedir:
sorgu = "SELECT * FROM kullanicilar WHERE isim =
' " + kullaniciAdi + " ';" |
Yukarıdaki SQL sorgusu girilen kullancı adı bilgisine ait tüm verileri, kullanıcı tablosundan çekecek şekilde tasarlanmıştır. Sistem kullanıcı adı bekliyorken,kullanıcı adı kısmına kötü niyetli bir kullanıcı tarafından sisteme zarar verecek sql ifadeleri yazılabilir. Örneğin, "kullaniciAdi" değişkenini aşağıdaki şekilde düzenleme yapılabilir.
' or '1'='1
Bu girdi Sql ifadesinin aşağıdaki şekilde işlenmesine neden olur:
sorgu = "SELECT * FROM kullanicilar WHERE isim =
' " + kullaniciAdi ' or '1' = '1 + " ';" |
Sorgunun geri kalanını engellemek için yorum satırı karakterleri kullanılır. (Aşağıda üç farklı SQl yorum satırı karakteri gösterilmiştir.[12]). Üç satırın sonunda da bir boşluk bulunmaktadır.
' or '1'='1' -- ' or '1'='1' ({ ' or '1'='1' /*
Saldırgan bu SQL ifadelerini, uygulamaya kullanıcı girişi olarak girerse, uygulama tabanında çalışacak sorgu aşağıdaki şekilde olur.
SELECT * FROM kullanicilar WHERE kullaniciAdi =
'' or '1' = '1 + " '; |
"SELECT * FROM kullanicilar WHERE isim ='' or '1' = '1 + " ';"
"SELECT * FROM kullanicilar WHERE isim = '' OR '1'='1' -- ';
SELECT * FROM kullanicilar WHERE kullaniciAdi =
'' OR '1'='1' -- '; |
kullaniciAdi verisi ne olursa olsun '1'='1' koşulu sağlanacağı için ve aradaki işlemin OR olmasından dolayı sorgu sonucu her zaman olumlu olacaktır. Yorum satırı karakterlerinden sonra gelen tüm karakterler yorum niteliği kazanacaktır ve onların bir önemi kalmayacaktır.
Aşağıdaki SQL ifadesindeki "kullaniciAdi" na girilen değer, kişiler tablosunun silinmesine ve kişiBilgileri tablosundaki tüm verilerin ifşa edilmesine neden olur.
a';DROP TABLE kullanıcilar; SELECT * FROM kullanıciBilgileri WHERE 't' = 't'
|
Bu girdi Sql ifadesinin aşağıdaki şekilde işlenmesine neden olur:
SELECT * FROM kullanicilar WHERE kullaniciAdi = 'a';DROP TABLE kullanicilar; SELECT * FROM kullaniciBilgileri WHERE 't' = 't';
|
Çoğu SQL sunucusu, bir çağrı ile birden fazla SQL ifadesinin yürütülmesine izin verirken, PHP'nin mysql_query () fonksiyonu gibi bazı SQL API'leri güvenlik nedenlerinden dolayı buna izin vermez. Bu durum, saldırganların farklı sorgular açmalarını engeller, ancak sorguları değiştirmelerine engel değildir.
Yanlış tip işleme (Incorrect type handling)
SQLI'ın bu türü, kullanıcı tarafından girilen alanın tür kontrolü düzgün yapılmadığında oluşur. Bir sql ifadesinde sayısal değer kullanıldığında, kullanıcının girdisinin de sayısal değer olması gereklidir. Bu kontrol yapılmadığı zaman bir güvenlik açığı oluşur. Örneğin:
sorgu = " SELECT * FROM kullaniciBilgileri WHERE id =" + deger + ";
" |
Bu ifadede "id" alanına bir sayının gelmesi amaçlandığı açıktır.Ancak bir string gelmesi bekleniyorsa, son kullanıcı sql ifadesini istediği şekilde değiştirebilir.Örneğin değer yerine aşağıdaki ifade yazılırsa,
1;DROP TABLE kullanicilar |
Sql ifadesi aşağıdaki şekilde olacak ve bu ifade sonucunda kullanicilar tablosu veri tabanından silinecektir.
SELECT * FROM kullaniciBilgileri WHERE id=1; DROP TABLE kullanicilar;
|
Blind SQL injection
Blind SQL injection, bir web uygulaması bir SQLI'na karşı açık olduğunda kullanılır, ancak sonuçları saldırgan tarafından görülemez.Güvenlik açığı bulunan sayfada veriler ifşa edilemez ama SQL ifadesinin içine gömülmüş olan mantıksal ifade nedeniyle değiştirilmiş veriler görüntülenebilir.
Koşullu yanıtlar (Conditional Responses)
Veritabanını, sıradan bir uygulamada, mantıksal bir ifadeyi değerlendirmeye zorlar. Örneğin bir kitap inceleme sitesinde, hangi kitabın görüntüleneceğini belirlemek için yandaki sorgu kullanılır. http://kitaplar.ornek.com/incelemeyiGoster.php?ID=5 URL'si sunucunun sorguyu çalıştırmasına neden olur.
SELECT * FROM kitapIncelemeleri WHERE id=Deger(ID);
|
Sorgu sunucuda tamamlanır. Kullanıcı veritabanının, tablonun veya alanların adlarını ve sorgu ifadesini bilmediği için bu kısımlara müdahale edemez. Sadece yukarıdaki URL'nin bir kitap incelemesi getirdiğini görür. Saldırgan, http://kitaplar.ornek.com/incelemeyiGoster.php?ID=5 OR 1 = 1 ve http://kitaplar.ornek.com/incelemeyiGoster.php?ID=5 AND 1 = 2 URL'lerini yüklediği zaman aşağıdaki sorgulara neden olabilir.
SELECT * FROM kitapIncelemeleri WHERE id='5' OR '1'='1';
|
SELECT * FROM kitapIncelemeleri WHERE id='5' AND '1'='2';
|
Bu sorgular sonucunda "1 = 1" URL'si ile orijinal inceleme sayfası geliyorsa veya "1 = 2" URL'si ile boş sayfa veya hata sayfası gönderiyorsa, sorgu büyük olasılıkla her iki durumda başarıyla geçmiştir ve site SQL injection saldırılarına açıktır. Hacker, sunucuda çalışan MySQL sürüm numarasını ortaya çıkarmak için tasarlanmış bu sorgu dizesiyle devam edebilir: http://kitaplar.ornek.com/incelemeyiGoster.php?ID=5AND substring(@@version, 1, INSTR(@@version, '.') - 1)=4.Bu sorgu sonrasında MySQL 4 çalıştıran bir sunucuda kitap incelemesi gösterilecek diğer durumlarda boş sayfa veya hata sayfası gönderecektir. Hacker, başka bir saldırı yolu bulana kadar veya hedeflerine ulaşılıncaya kadar sunucudan daha fazla bilgi toplamak için sorgu dizeleri içinde kod kullanmaya devam edebilir.[13][14]
İkincil SQL injection (Second order SQL injection)
İkincil SQL injection, kötü amaçlı kodlar içeren değerlerin gönderilir gönderilmez yürütülmeyip, bir süre tutulduğu zaman oluşur. Uygulama SQL ifadesini doğru şekilde encode edip, geçerli SQL ifadesi olarak depo edebilir. Sonrasında SQL injectiona karşı denetimsiz olan uygulamanın başka bir kısmında, depolanan SQL ifadesi çalıştırılır. Bu saldırıyı gerçeklemek için saldırganın, gönderilen değerlerin daha sonra nasıl kullanıldığına dair daha fazla bilgiye sahip olması gerekir. Otomatik web uygulaması güvenlik tarayıcıları, bu tür bir SQL injection'ları kolaylıkla algılayamaz. Dolayısıyla kötü niyetli yazılımların kodun handi kısmında olduğu manuel olarak kontrol edilmelidir.
Saldırılara karşı önlemler
SQL injection, iyi bilinen bir saldırıdır ve basit önlemlerle kolayca önlenebilir. 2015'te Talktalk'daki bariz bir SQL injection saldırısı sonrasında BBC, böyle büyük bir şirketin sql injection açıklarının bulunmasının güvenlik uzmanlarını şaşırttığını belirtti.[15]
Parametreleştirilmiş ifadeler
Çoğu uygulama geliştirme platformunda, parametre olarak kullanıcıdan gelen veri yerine parametrik ifadeler kullanılır.(placeholder veya bind variable olarak da isimlendirilirler.) Bir placeholder sadece verilen tipte veri saklar. Dolayısıyla SQL injection yalnızca ilginç (ve muhtemelen geçersiz) bir parametre değeri olarak ele alınır.
Çoğu durumda, SQL ifadesi belirlidir ve her parametre tablo olarak değil, bir skaler olarak saklanır. Kullanıcıdan gelen veri bu parametreye atanır.[16]
Kod seviyesinde zorlamak (Enforcement at the coding level)
object-relational mapping kütüphanelerini kullanmak, SQL kod yazma gereksinimini ortadan kaldırır. Etkin olan ORM kitaplığı, object-oriented koddan parametrik SQL ifadeleri üretir.
Escaping
SQL'de özel anlamları olan karakterlerden kaçınmak gereklilir. SQL DBMS, hangi karakterlerin özel bir anlam taşıdığını açıklar ve kapsamlı bir blacklist sunar. Örneğin her parametre içindeki tek tırnak işareti('
), geçerli bir SQL string literal oluşturmsk için iki tek tırnak ile değiştirilir.(''
) mysqli_real_escape_string();
fonksiyonunu kullanarak parametrelerdern kaçınmak yaygın bir yöntemdir.
$mysqli = new mysqli('hostname', 'db_username', 'db_password', 'db_name');
$query = sprintf("SELECT * FROM `Users` WHERE UserName='%s' AND Password='%s'",
$mysqli->real_escape_string($username),
$mysqli->real_escape_string($password));
$mysqli->query($query);
Bu fonksiyon şu karakterlerin başına backslash (\) ekler. \x00
, \n
, \r
, \
, '
, "
\x1a
. MySQL'e bir sorgu göndermeden önce veri güvenliğini sağlamak için kullanılır.[17]
PHP'de birçok vertabanı türü için birçok fonksiyon var örneğin pg_escape_string() fonsiyonu PostgreSQL için. Slash eklemek için kullanılan addslashes (string $ str) fonksiyonu escaping karakterler için kullnılır. Veri tabanında sorgulanacak karakterlerin başına backslash (\) eklenmiş bir string döndürür. Bu karakterler tek tırnak işareti ('), çift tırnak işareti ("), backslash (\) ve NUL (NULL bayt) şeklindedir.[18]
İnput güvenliğini sağlamak için şeffaf bir katman oluşturmak hata eğilimini azaltabilir, ancak tamamen ortadan kaldırmaz.[19]
Örüntü kontrolü
Integer, float, boolean, string parametreleri, değerlerinin belirtilen tür için geçerli olup olmadığı kontrol edilebilir. Stringlerin başka paternlara göre de kontrol edilmesi gerekebilir. (tarih, UUID, sadece alfanumerik, vb.)
Veri tabanı izinleri
Web uygulamaları tarafından verilen, veri tabanında oturum açma izinlerini kısıtlamak, web uygulamalarındaki açıkları kullanan bir SQL injection saldırılarının etkinliğini azaltmaya yardımcı olabilir.
Örneğin, Microsoft SQL Server'da bir veritabanı oturum açma işleminde bazı sistem tablolarına erişim kısıtlanabilir bu sayede veritabanındaki tüm text sütunlarına JavaScript eklemeyi deneyen kötü niyetli yazılımlar sınırlandırılmış olur.
deny select on sys.sysobjects to webdatabaselogon;
deny select on sys.objects to webdatabaselogon;
deny select on sys.tables to webdatabaselogon;
deny select on sys.views to webdatabaselogon;
deny select on sys.packages to webdatabaselogon;
Kaynakça
- Microsoft. "SQL Injection 2 Ağustos 2013 tarihinde Wayback Machine sitesinde arşivlendi.". Retrieved 2013-08-04. "SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker."
- "Imperva Web Application Attack Report". 17 Nisan 2016 tarihinde kaynağından arşivlendi.
- Sean Michael Kerner (25 Kasım 2013). "How Was SQL Injection Discovered? The researcher once known as Rain Forrest Puppy explains how he discovered the first SQL injection more than 15 years ago 18 Mart 2014 tarihinde Wayback Machine sitesinde arşivlendi.."
- Jeff Forristal (Dec 25, 1998)"NT Web Technology Vulnerabilities 22 Nisan 2017 tarihinde Wayback Machine sitesinde arşivlendi.". Phrack Magazine.(8. makale)
- "The Open Web Application Security Project". 23 Nisan 2020 tarihinde kaynağından arşivlendi. Erişim tarihi: 23 Nisan 2020.
- "WHID 2007-60: The blog of a Cambridge University security team hacked" 18 Nisan 2016 tarihinde Wayback Machine sitesinde arşivlendi.. Xiom. 03-06-2011 tarihinde arşivlendi.
- "WHID 2009-1: Gaza conflict cyber war" 19 Nisan 2016 tarihinde Wayback Machine sitesinde arşivlendi.. Xiom.03-06-2011 tarihinde arşivlendi.
- 18 Haziran 2009 tarihinde Arşivlendi,( Wayback Machine)
- "Third Wave of Web Attacks Not the Last". 22 Nisan 2017 tarihinde Wayback Machine sitesinde arşivlendi. Dark Reading. 29-07-2017 tarihinde arşivlendi.
- Danchev, Dancho (23-01-2007. "Mind Streams of Information Security Knowledge: Social Engineering and Malware". Ddanchev.blogspot.com. 03-06-2011 tarihinde alıntılandı.
- Deltchev, Krassen. "New Web 2.0 Attacks" 16 Ağustos 2017 tarihinde Wayback Machine sitesinde arşivlendi.. B.Sc. Thesis. Ruhr-University Bochum. 18-02-2010 tarihinde arşivlendi.
- IBM Informix Guide to SQL: Syntax. Overview of SQL Syntax > How to Enter SQL Comments, IBM
- macd3v. "Blind SQL Injection tutorial" 14 Aralık 2012 tarihinde Wayback Machine sitesinde arşivlendi.. 6 Aralık 2012 tarihinde arşivlendi.
- Andrey Rassokhin; Dmitry Oleksyuk. "TDSS botnet: full disclosure" 9 Aralık 2012 tarihinde Wayback Machine sitesinde arşivlendi.. 6 Aralık 2012 tarihinde arşivlendi
- "Questions for TalkTalk - BBC News" 26 Ekim 2015 tarihinde Wayback Machine sitesinde arşivlendi.. BBC News. 25-10-2015 tarihinde arşivlendi.
- "SQL Injection Prevention Cheat Sheet". Open Web Application Security Project.3 Mart 2012 tarihinde arşivlendi.
- "mysqli->real_escape_string - PHP Manual 17 Nisan 2016 tarihinde Wayback Machine sitesinde arşivlendi.". PHP.net.
- "Addslashes - PHP Manual 5 Eylül 2011 tarihinde Wayback Machine sitesinde arşivlendi.". PHP.net.
- "Transparent query layer for MySQL 11 Kasım 2010 tarihinde Wayback Machine sitesinde arşivlendi.". Robert Eisele. 8 Kasım 2010