Sprawdzanie podatności na SQL Injection

Do popełnienia tego wpisu zainspirował mnie artykuł w najnowszym numerze hackin9 6/2009 (49). Pierwsze wrażenie jakie na mnie zrobił artykuł „Metodyka ataków SQL Injection” to, że będzie powtórka z rozrywki. Znowu będą przykłady brane żywcem w z Wikipedii. We wstępie tak niestety było.

Testowanie ręczne podatności na tego typu atak trochę mija się z celem. Trzeba wtedy sprawdzać:

• pola formularzy (te ukryte, jawne itp),
• ciasteczka,
• sesje,
• parametry przekazywane metodą GET.

Sprawdzenie tego wszystkiego będzie czasochłonne. Można to zlecić specjalistom lub skorzystać z dobrodziejstw Internetu i znaleźć darmowe aplikacje ułatwiające nam życie – fuzzery (ang. fuzzers, fuzzing). Pod tą tajemniczą nazwą – fuzzer – kryje się program, który wprowadza losowe dane do testowanego programu. Te losowane dane są w odpowiedni sposób spreparowane – tzn.  ich wprowadzenie może doprowadzić do pojawienia się błędu. W przypadku stron internetowych będą to np. błędy o niepoprawnej składni języka SQL, pojawią się informacje o polach, tabelach, typie bazy danych. Takie dane już mogą być pomocne dla Intruza.

W artykule są wymienione przykłady takich aplikacji pod SO Windows, którego już (na całe szczęście) nie posiadam ;). Jest natomiast podane rozszerzenie do FireFoxa, dzięki któremu można przeprowadzić taki test. Rozszerzenie sprawdza formularze - zamienia wszystkie checkboxy, selecty czy radio na pola tekstowe, dzięki którym łatwiej można coś wstrzyknąć. Rozszerzenie pozwala na prowadzenie własnych reguł.

Po więcej informacji teoretycznych odsyłam do czasopisma.