🏗️ 🧚🏿 🍩 एसक्यूएल इंजेक्शन। सत्यापन, हैकिंग, सुरक्षा 🌠 👇🏻 🍦

SQL इंजेक्शन किसी साइट को हैक करने के सबसे किफायती तरीकों में से एक है।
इस तरह के इंजेक्शन का सार डेटा में मनमाने ढंग से SQL कोड का कार्यान्वयन (GET, POST अनुरोधों या कुकी मानों के माध्यम से प्रसारित) है। यदि साइट असुरक्षित है और इस तरह के इंजेक्शन करती है, तो संक्षेप में डेटाबेस से कुछ भी बनाने की क्षमता है (सबसे अधिक बार MySQL)।

SQL इंजेक्शन इंजेक्ट करने के लिए भेद्यता की गणना कैसे करें?

बहुत आसान है। उदाहरण के लिए, एक परीक्षण साइट test.ru है। साइट विस्तृत अभियोजन की संभावना के साथ समाचारों की एक सूची प्रदर्शित करती है। समाचार के विस्तृत विवरण वाले पृष्ठ का पता इस तरह दिखता है: test.ru/?detail=1 । यही है, GET अनुरोध के माध्यम से, चर विस्तार 1 मान स्थानांतरित करता है (जो समाचार तालिका में प्रविष्टि का पहचानकर्ता है)।

हम GET अनुरोध को बदल देते हैं ?detail=1' या ?detail=1" । इसके बाद, हम इन अनुरोधों को सर्वर पर भेजने का प्रयास करते हैं, अर्थात् , test.ru/?detail=1 ' या test.ru/?detail=1 " पर जाएं।

यदि इन पृष्ठों को एक्सेस करते समय कोई त्रुटि होती है, तो साइट SQL इंजेक्शन के लिए असुरक्षित है।

एक त्रुटि का एक उदाहरण जो भेद्यता की जांच करते समय होता है

संभव एसक्यूएल इंजेक्शन (एसक्यूएल इंजेक्शन)
1) सबसे सरल किसी भी पैरामीटर मानों के लिए एक सही परिणाम के लिए WHERE शर्त को कम कर रहे हैं।
2) किसी अन्य क्वेरी के क्वेरी परिणामों में शामिल होना। यह UNION ऑपरेटर के माध्यम से किया जाता है।
3) अनुरोध का हिस्सा बाहर टिप्पणी करना।

अभ्यास। SQL इंजेक्शन भेद्यता के साथ हैकिंग साइट विकल्प

इसलिए, हमारे पास पहले से ही उल्लिखित साइट test.ru है। डेटाबेस 4 समाचारों को संग्रहीत करता है, जिनमें से 3 प्रदर्शित होते हैं। समाचार प्रकाशित करने की अनुमति सार्वजनिक पैरामीटर पर निर्भर करती है (यदि पैरामीटर में मान 1 है, तो समाचार प्रकाशित होता है)।

प्रकाशन के लिए अनुमत समाचारों की सूची

पृष्ठ test.ru/?detail=4 पर पहुंचते समय , जिसे चौथी समाचार प्रदर्शित करनी चाहिए, एक त्रुटि दिखाई देती है - समाचार नहीं मिला।
हमारे मामले में, समाचार मौजूद है, लेकिन यह प्रकाशन के लिए निषिद्ध है।

लेकिन चूंकि हमने पहले ही भेद्यता के लिए साइट की जाँच कर ली थी और इसने एक डीबी त्रुटि उत्पन्न की थी, हम संभव क्वेरी विकल्पों के माध्यम से छाँटने की कोशिश कर रहे हैं।
एड्रेस बार में, प्लस (+) एक स्थान के रूप में कार्य करता है, इसलिए डरें नहीं

मैं निम्नलिखित विकल्पों का परीक्षण कर रहा हूं:
test.ru/?detail=4+OR+1
test.ru/?detail=4+--
test.ru/?detail=4+UNION+SELECT+ * + FROM + news + WHERE + id = 4

नतीजतन, भाग्य मुस्कुराया और दो अनुरोध (पहले और तीसरे) ने हमें चौथी खबर का विस्तृत विवरण लौटा दिया

अंदर से एक उदाहरण पार्स करना

समाचार का विस्तृत विवरण प्राप्त करने के लिए एक कोड ब्लॉक जिम्मेदार है:

$detail_id=$_GET['detail'];
$zapros="SELECT * FROM `$table_news` WHERE `public`='1' AND `id`=$detail_id ORDER BY `position` DESC";

न केवल $ detail_id को किसी भी प्रसंस्करण के बिना मान मिलता है, `id` = $ detail_id निर्माण भी कुटिल है, यह` id` = '$ detail_id' के साथ छड़ी करने के लिए बेहतर है (यानी प्रत्यक्ष मूल्य में प्रत्यक्ष मान लिखना)।

पृष्ठ के माध्यम से प्रवेश करते समय प्राप्त अनुरोध को देखते हुए

test.ru/?detail=4+OR+1

SELECT * FROM `news` WHERE `public`='1' AND `id`=4 OR 1 ORDER BY `position` DESC

यह स्पष्ट नहीं है कि 4 समाचार क्यों प्रदर्शित किया गया था। तथ्य यह है कि क्वेरी ने समाचार तालिका से सभी प्रविष्टियों को वापस कर दिया, ऊपर से अवरोही क्रम में सॉर्ट किया गया। और इसलिए हमारी 4 वीं खबर बहुत पहले निकली, यह भी विस्तृत रूप में दिखाई दी। यानी सिर्फ एक संयोग।

के माध्यम से पहुँचने पर उत्पन्न अनुरोध को पार्स करें test.ru/?detail=4+UNION+SELECT+*+FROM+news+WHERE+id=4 test.ru/?detail=4+UNION+SELECT+*+FROM+news+WHERE+id=4 ।

यहां समाचार (हमारे मामले में, समाचार) के साथ तालिका का नाम तार्किक गणना द्वारा लिया गया था।
अतः, क्वेरी का SELECT * FROM `news` WHERE `public`='1' AND `id`=4 UNION SELECT * FROM news WHERE id=4 ORDER BY `position` DESC । दूसरे भाग का परिणाम (UNION के बाद), जिसने 4 वें समाचार का विस्तृत विवरण लौटाया, अनुरोध के पहले भाग (UNION से पहले) के शून्य परिणाम में शामिल हो गया।

SQL इंजेक्शन (SQL इंजेक्शन) के खिलाफ सुरक्षा

हैकिंग के खिलाफ संरक्षण "विश्वास, लेकिन सत्यापित करें" के मूल नियम के लिए नीचे आता है। आपको विशेष स्वरूपों में सब कुछ - नंबर, रेखाएं, दिनांक, डेटा की जांच करने की आवश्यकता है।

संख्या

संख्यात्मक मान के लिए वैरिएबल की जांच करने के लिए, is_numeric (n) फ़ंक्शन का उपयोग करें, जो सही होगा यदि n एक संख्या है, और अन्यथा गलत है।
आप किसी संख्या के लिए मान भी नहीं देख सकते हैं, लेकिन मैन्युअल रूप से ओवरराइड कर सकते हैं। यहां एक उदाहरण दिया गया है जो $ _GET ['id_news'] से प्राप्त $ आईडी मूल्य को पूर्णांक प्रकार मान (पूर्णांक) में अधिलेखित करता है:
$id=(int)$_GET['id_news'];

पंक्तियां

अधिकांश एसक्यूएल हैक "असंबद्ध" उद्धरण, एपोस्ट्रोफ और स्ट्रिंग में अन्य विशेष वर्णों की उपस्थिति के कारण होते हैं। ऐसा करने के लिए, Addlashes ($ str) फ़ंक्शन का उपयोग करें, जो प्रत्येक विशेष वर्ण से पहले एक अतिरिक्त बैकस्लैश (\) के साथ स्ट्रिंग $ str को लौटाता है। इस प्रक्रिया को एक अनुकूलन कहा जाता है।

$a=" ' ";
echo addslashes($a); // : \'

इसके अलावा, विशेष रूप से SQL अभिव्यक्तियों में उपयोग किए गए स्ट्रिंग्स के अनुकूलन के लिए दो फ़ंक्शन बनाए गए हैं।
यह mysql_escape_string ($ str) है; और mysql_real_escape_string ($ str);

पहला डेटाबेस कनेक्शन के एन्कोडिंग को ध्यान में नहीं रखता है और इसे बाईपास किया जा सकता है, लेकिन दूसरा इसे ध्यान में रखता है और बिल्कुल सुरक्षित है। mysql_real_escape_string ($ str); बैकस्लैश के साथ स्ट्रिंग $ str को निम्न वर्णों में जोड़ा गया: \x00, \n, \r, \, ', " \x1a ।

जादू उद्धरण

मैजिक कोट्स I / O संचालन के दौरान बैकस्लैश (\) और उद्धरण चिह्नों के साथ स्वचालित रूप से उद्धरण चिह्नों को बदलने का प्रभाव है। कुछ PHP विन्यास में, यह विकल्प सक्षम है, और कुछ में नहीं। Mysql_real_escape_string ($ str) के माध्यम से सामान्य तरीके से दोहरे-भागने वाले पात्रों और डेटा से बचने के लिए, आपको स्वचालित बैकस्लैश को हटाने की आवश्यकता है (यदि जादू उद्धरण चालू हैं)।

GET, POST या कुकीज़ से प्राप्त डेटा के लिए मैजिक कोट्स को शामिल करने की जाँच get_magic_quotes_gpc(); फ़ंक्शन के माध्यम से की get_magic_quotes_gpc(); (1 रिटर्न - यदि जादू उद्धरण सक्षम हैं, तो 0 - यदि अक्षम है)।

यदि जादू उद्धरण शामिल हैं (अर्थात, बैकस्लैश जोड़े जाते हैं) और यह अधिक बार होता है, तो उन्हें हटाने की आवश्यकता होती है। यह स्ट्रिप्सलैश ($ str) फ़ंक्शन के माध्यम से किया जाता है; (उद्धरण चिह्नों और प्रत्यक्ष एपोस्ट्रोफ्स में बैकस्लैश के बिना स्ट्रिंग $ str लौटाता है)।

अंत में, मैं डेटाबेस को लिखने के लिए स्ट्रिंग्स के पूर्ण स्क्रीन संस्करण के साथ एक कोड देता हूं

if(get_magic_quotes_gpc()==1)
{
$element_title=stripslashes(trim($_POST["element_title"]));
$element_text=stripslashes(trim($_POST["element_text"]));
$element_date=stripslashes(trim($_POST["element_date"]));
}
else
{
$element_title=trim($_POST["element_title"]);
$element_text=trim($_POST["element_text"]);
$element_date=trim($_POST["element_date"]);
}

$element_title=mysql_real_escape_string($element_title);
$element_text=mysql_real_escape_string($element_text);
$element_date=mysql_real_escape_string($element_date);

लेख वेब प्रणालियों की सुरक्षा में व्यावहारिक कौशल के आधार पर तैयार किया गया था। सिद्धांत एक अच्छी बात है, लेकिन अभ्यास अधिक महत्वपूर्ण है और सबसे महत्वपूर्ण बात यह है कि यह काम करता है।

एसक्यूएल इंजेक्शन। सत्यापन, हैकिंग, सुरक्षा