Injection

OWASP Top 10

A1-Injection

Illustrated Application presents form to attacker Attacker sends an attack in the form data Application forwards attack to the database SQL query Database runs query containing attack and sends encrypted results back to application Application decrypts data as normal and sends results to user ผ่าน Port 80 หรือ 443

Security Misconception “The Firewall Protects my web server and database” Access to the server through ports 80 and 443 makes the web server part of your external perimeter defense Vulnerabilities in the web server software or web applications may allow access to the internal network resources การเข้าถึงเซิร์ฟเวอร์ผ่านทางพอร์ต 80 และ 443 ทำให้เว็บเซิร์ฟเวอร์เป็นส่วนหนึ่งของการป้องกันด้านนอก ช่องโหว่ในซอฟต์แวร์เซิร์ฟเวอร์เว็บหรือเว็บแอ็พพลิเคชันอาจช่วยให้สามารถเข้าถึงทรัพยากรภายในเครือข่ายได้

Security Misconception The IDS protects my web server and database The IDS is configured to detect signatures of various well-known attacks Attack signatures do not include those for attacks against custom applications IDS - intrusion detection system Intrusion detection system (IDS) คือ Software หรือ Hardware ที่ได้รับการออกแบบมาเพื่อให้ตรวจสอบการเชื่อมต่อที่ไม่พึงประสงค์ หรือความพยายามที่จะเข้ามาทำอันตรายต่อเครือข่าย โดยผ่านระบบ ต่างๆ เช่น Internet, Lan เป็นต้น โดยการโจมตีนั้นอาจจะเกิดจาก cracker, Worm หรือ Malware ต่างๆ และข้อจำกัดของ Intrusion detection system (IDS) นั้นก็คือไม่สามารถที่จะตรวจสอบ Packet ที่เข้ารหัสได้

Security Misconception “SSL secure my site” SSL secured the transport data between the web server and the user’s browser SSL does not protect against attacks against the server and applications SSL is the hacker best friend due to the false sense of security

Security Misconception 1. Attacker sends data containing SQL fragments 3. Attacker view unauthorized data 2. Application sends modified query and database return it Example: $sql = “SELECT * FROM table WHERE id =’” .$_REQUEST[‘id’] .”’”;

Security Misconception It is flaw in “web application” development, it is not a DB or web server problem. Most programmers are still not aware of this problem A lot of the tutorials & demo “templates” are vulnerable Even worse, a lot of solutions posted on the Internet are not good enough.

SQL Injection

Don’t attack/test any Web App without permission illegal

Agenda SQL Injection Concept Security Misconception Lab Setup Installation Error Based Basic Injection Moving more into Errors Dumping database for Challenge-solution 1

What is SQL Injection SQL injection is a code injection technique, used to attack data-driven applications, in which nefarious SQL statements are inserted into an entry field for execution (e.g. to dump the database contents to the attacker) SQL Injection เป็นเทคนิค หรือ รูปแบบ การโจมตีของ hacker โดยอาศัยช่องโหว่ของโปรแกรม ทำให้สามารถ แอบใส่ คำสั่ง SQL เข้าไปทาง Input ทั้งหลายบน UI เพื่อที่จะสามารถดึงข้อมูล ออกมาจากฐานข้อมูลได้

Lab Setup Apache PHP http://www.suthipoom.com/dpu/dpu.zip MySQL Penetration test คือการทดสอบเพื่อหาช่องทางในการเข้าถึงระบบ (Exploit) ซึ่งการเข้าถึงระบบโดยผ่านช่องโหว่ที่พบอาจเป็น 0day ที่ยังไม่พบการแจ้งเตือนจากผู้ผลิต (Vendor) และการกระทำใดๆที่อาจทำให้ผู้ว่าจ้างได้ทราบถึงความเสี่ยง เสมือนปฎิบัติจริงการเป็นแฮกเกอร์เพื่อเจาะระบบ