Jos on olemassa yksi asia, jota kyberrikolliset rakastavat, se on data. Varastetut tiedot ovat erittäin arvokkaita laittomilla markkinapaikoilla, ja pääsy yksityisiin tietokantoihin voi olla hyvä tapa haitallisille toimijoille saada voittoa hankkeistaan. Yksi tapa päästä käsiksi yksityisiin tietoihin on SQL-injektio. Mutta mikä tarkalleen on SQL-injektio, miten se toimii ja voidaanko tällainen hyökkäys estää?
Mikä on SQL-injektio?
Ohjelmistojen toiminta perustuu koodiin. Koodi on myös kieli, jota koneet käyttävät toimintojen suorittamiseen, ja sitä voi olla monissa muodoissa (Python, JavaScript, C++ jne.). Kyberrikolliset voivat usein hyökätä uhrien kimppuun koodin kautta, ja SQL-injektiot (tai SQL: t) eivät eroa toisistaan. Niiden avulla haitalliset toimijat voivat "ruiskuttaa" haitallista koodia SQL-käskyyn.
Käydään ensin läpi mitä SQL tarkoittaa.
SQL tulee sanoista Structured Query Language. Tämä on toisenlainen ohjelmointikieli käytetään erityisesti tietokantojen käsittelyssä. IBM: n 1970-luvulla kehittämä SQL voi käsitellä, tallentaa ja hakea tietokantatietoja. Monet tietokantaviestintäjärjestelmät ympäri maailmaa käyttävät SQL: ää, joten ei ole yllätys, että uhkatoimijat ovat kehittäneet tapoja käyttää sitä väärin kohdistaakseen tietokantoihin.
SQL-lauseet ovat tärkeä osa tietokantaviestintää. SQL-lause on komento joka tulee monissa eri muodoissa. Jotkut muuttavat tietoja, jotkut hakevat tai poistavat niitä ja jotkut voivat muuttaa itse tietokannan rakennetta. Kun SQL-injektio tapahtuu, haitallinen koodi lisätään SQL-käskyyn.
Tietysti verkkosivuston tai sovelluksen on käytettävä SQL-ohjelmointikieltä, jotta SQL-injektio on mahdollista. Mutta miten tämä hyökkäysvektori toimii?
Oletetaan, että sinulla on tavallinen sovelluksen käyttämä koodirivi. Kun kyberrikollinen lisää haitallisen SQL-injektion, siihen lisätään koodirivi, joka voi häiritä sovelluksen itsensä lähettämiä kyselyitä tietokantaansa. Näin tietokantaa voidaan hyödyntää tavalla, joka antaa uhkatekijälle mahdollisuuden tarkastella tietoja, joihin heillä ei muuten olisi pääsyä.
Sieltä kyberrikollinen voi varastaa tietoja hyödyntääkseen niitä suoraan tai myydä sitä pimeässä verkossa tai muualla. Ne voivat myös muuttaa, lisätä tai poistaa tietoja kohdetietokannasta. SQL-injektiohyökkäyksen asteesta riippuen voi tapahtua paljon vahinkoa. Jos maksutietoja, sosiaaliturvatunnuksia tai muita yksityisiä tietoja käsitellään, monet ihmiset voivat joutua hyväksikäytön uhriksi.
Toisaalta, jos hyökkääjä onnistuu muuttamaan tietokantaa merkittävästi, suuria määriä tietoja voidaan menettää pysyvästi. Kaiken kaikkiaan SQL-injektiot voivat tuhota kokonaisia tietokantoja yhdellä hyökkäyksellä. Vaikka ne ovat olleet olemassa vuodesta 1998, ne ovat edelleen merkityksellisiä ja vaarallisia nykypäivänämme.
Kuten löysi Open Web Application Security Project (OWASP), 274 000 SQL-injektiota tunnistettiin testattaessa sovelluksia tällaisen hyökkäyksen esiintymisen varalta vuonna 2021.
SQL-injektion tyypit
On olemassa muutamia erilaisia SQL-injektiotyyppejä, joista tärkeimmät kolme ovat sokea, kaistan sisäinen ja kaistan ulkopuolinen lisäys.
Sokea (tai päättelevä) SQL-injektio tapahtuu, kun sovellus tai sivusto hyökkää injektio, mutta annetut HTTP-vastaukset (Hypertext Transfer Protocol) eivät sisällä funktion tulosta SQL-kysely. Toisin sanoen kyberrikolliselle ei anneta tietoja tietokannasta, johon hyökätään. Joten mitä järkeä tässä on?
Käyttämällä sokeaa SQL-injektiota hyökkääjä lähettää tietoja kohdepalvelimelle ja voi sitten havaita tiettyjä tietokannan asioita HTTP-vastauksen luonteen perusteella. Tämän lisäksi HTTP-vastaukseen liittyvät tekijät voivat auttaa hyökkääjää luomaan uuden tehokkaamman SQL-injektion tietokantaan pääsyä varten.
Sokeaa SQL-injektiota on kaksi avaintyyppiä, jotka tunnetaan aikaperusteisina ja loogisina. Nämä kaksi muunnelmaa ovat luonteeltaan melko samanlaisia. Sekä boolean- että aikapohjainen SQL-injektio lähettää joukon kyllä- tai ei-vastauskysymyksiä, vaikka jälkimmäinen vaatii tietokannan odottavan hetken ennen vastaamista kyselyihin.
Seuraavaksi on kaistan sisäiset SQL-injektiot. Kaistansisäisten SQL-injektioiden avulla käyttäjä voi suorittaa hyökkäyksen ja saada halutun tuloksen samaa kanavaa käyttäen. Kaistan sisäiset SQL-injektiot ovat yleisimmin käytettyjä, koska ne ovat helpoimpia suorittaa, koska ne vaativat vain yhden kanavan.
Lopuksi sinulla on kaistan ulkopuolinen SQL-injektio. Tämä on pohjimmiltaan vaihtoehtoinen versio kaistan sisäisestä SQL-injektiosta, jossa hyökkääjä ei voi suorittaa hyökkäystä yhteensä yhdellä kanavalla. Vaihtoehtoisesti hyökkäys voi joutua turvautumaan kaistan ulkopuoliseen SQL-injektioon, jos kohdepalvelin ei yksinkertaisesti ole tarpeeksi nopea tuottamaan tuloksia.
Nämä tekijät tekevät prosessista hieman vaikeamman, mikä tarkoittaa, että sen on turvauduttava tiettyihin ominaisuuksiin ollakseen aktiivinen kohdetietokannassa menestyäkseen. Esimerkiksi alustalla, jolle hyökätään, tulee puuttua syötteen desinfiointi. Tämän vuoksi kaistan sisäiset SQL-injektiot ovat paljon yleisempiä kuin kaistan ulkopuoliset SQL-injektiot. Mutta niitä tapahtuu silti.
Voidaanko SQL-injektiot välttää?
SQL-injektiot ovat enemmän huolissaan yrityksille ja organisaatioille kuin tavallisille henkilöille. Mutta on asioita, joita nämä potentiaaliset kohteet voivat tehdä vähentääkseen mahdollisuutta joutua tällaiseen hyökkäykseen.
Syötteiden puhdistaminen on keskeinen yleinen käytäntö SQL-injektioiden välttämiseksi. Tämä on suodatusprosessi, joka tarkistaa ja puhdistaa syötetyt vaaralliset merkit. Jos SQL-koodi käsitellään ennen puhdistamista, SQL-injektion mahdollisuus kasvaa luonnollisesti.
Lisäksi parametroidut kyselyt voivat auttaa sinua välttämään SQL-lisäyksiä. Nämä ovat kyselyitä, joiden suorittamiseen tarvitaan vähintään yksi parametri. Parametrien käyttäminen vaikeuttaa verkkorikollisten SQL-injektiohyökkäyksen onnistumista.
Mutta ei ole varmaa tapaa estää SQL-injektio. Kuten monien kyberhyökkäysten kohdalla, on melko mahdotonta pitää laitteitasi ja järjestelmiäsi täysin ilmatiiviinä. Mitä tulee SQL-injektioihin, paras, jonka voit tehdä, on puhdistaa kaikki syötteet ja luoda parametroidut kyselyt.
SQL-injektiot ovat vanhentuneita, mutta silti uhka
Vaikka SQL-injektiot ovat olleet olemassa yli 20 vuotta, ne aiheuttavat edelleen riskin monille verkkosivustoille ja sovelluksille. Joten on hyvä idea pitää tämä hyökkäysmuoto mielessä ja ryhtyä tarvittaviin toimenpiteisiin sen estämiseksi, koska se voi muodostaa uhan tietokantoillesi jossain vaiheessa tulevaisuudessa.
