การโจมตีแบบที่ 7 SQL Injection + การป้องกัน

[2t]

การโจมตีแบบที่ 7 SQL Injection

เป็นการ Hack ผ่าน SQL Command ตัวอย่างที่เจอบ่อย ๆ เกิดจากความไม่ระวังของ Programmer เองขอยกตัวอย่างหน้า Login ที่เปิด DB เพื่อตรวจสอบ Username และ Password

SQL="select * from tableUser Where username='" & txtUsername &"' and password='" & txtPassword &"'"

โดย SQL ด้านบนจะ Run ผ่านหน้า Login เมือผู้ใช้กรอก Username และ Password แล้ว
สมมุติน่ะครับ ว่าถ้า User กรอกข้อมูลดังนี้

txtUsername="user"
txtPassword= "pass' or 'x'='x'"

ตอนที่นำมาประมวลผลก็จะได้ Query String เต็ม ๆ คือ

SQL="select * from tableUser Where username='user' and password=pass' or 'x'='x' "

จุดที่น่าสนใจของ Query String ด้านบนคือ 'x'='x'  ถ้าเปรียบเทียบทางลอจิกมันจะเท่ากัน ดังนั้นเงื่อนไขก็เป็นจริง และเมื่อนำ 'x'='x' ไป OR กับ เงื่อนไขอื่น ๆ ก็เป็นจริงไปด้วย ดังนั้น Query String ด้านบนมันก็จะไม่สนใจแล้วว่า username และ password จะถูกต้องหรือไม่ เพราะ Query String เป็นจริงแล้วก็เข้าสู่ระบบต่อได้

วิธีป้องกัน
แทก Code ตัวอย่างด้านล่าง ก่อน Submit ลง Databases

Value1= Request("Value1") ' ค่าที่รับมาจาก TextBox
Value1=Replace(Value1,"'","") ' Replace เอา '  ออกหรือเอาแบบที่ใช้กับ HTML Syntax มาใช้เลยก็ได้ คือ Replace Control Code ที่สำคัญออกทั้งหมด

อีกอย่างที่ควรทำคือการกำหนดให้ TextBox กรอกข้อมูลได้ เฉพาะ a-z,0-9 ด้วยก็ได้ ทั้งนี้ขึ้นอยู่กับนโยบายหรือแผนที่วางไว้ว่าจะป้องกันแค่ไหนดี

2t

ไร้คอนเซปต์ ออฟไลน์ เพศ: พลังสะสม: 1669

พฤษภาคม 09, 2007, 05:22:11 PM

ผลงาน: 193

[nick_indy]

แบบนี่ แหละ ที่ ชอบ โจมตี PHP-Nuke

nick_indy

ไร้คอนเซปต์ ออฟไลน์ เพศ: พลังสะสม: 9130 นิค ณ ระยอง

พฤษภาคม 10, 2007, 08:24:10 AM

ผลงาน: 6767

[[V]inle[P]rince]

วิธีนี้ เมื่อ 2 ปีก่อนใช้ hack กันกระจุย
พอเดี๋ยวนี้แทบจะใช้ไม่ได้ -*-

[V]inle[P]rince

ขั้น 3 : ซุปเปอร์สตาร์ ออฟไลน์ เพศ: พลังสะสม: 568

พฤษภาคม 10, 2007, 08:30:21 AM

ผลงาน: -56