SQL(結(jié)構(gòu)化查詢語言)注入是眾所周知的軟件弱點和安全漏洞，如果不是的話，也是最出名的漏洞之一。盡管享有盛名，但如何防止SQL注入仍然是主要漏洞之一，并且攻擊持續(xù)增長。

查找SQL注入

根據(jù)OWASP Top 10，注入漏洞(其中SQL注入是其中一種)是Web應用程序安全性的頭號問題。SQL注入在CWE Top 25中排名第六。其他類型的安全漏洞示例包括：

• 指令注入(CWE-77)
• 操作系統(tǒng)命令注入(CWE-78)
• 冬眠注射(CWE-564)
• 表達語言注入(CWE-917)

所有這些漏洞都有一個共同的屬性。利用來自系統(tǒng)外部的數(shù)據(jù)，用戶或文件輸入或任何潛在危險功能來利用它們。

幸運的是，SQL注入可以通過工具靜態(tài)和動態(tài)地檢測到。但是，您永遠無法確定是否全部抓住了它們。防止SQL注入也是減少這些漏洞的頻率和影響的關鍵。結(jié)合了漏洞檢測和預防功能的成熟DevSecOps流程很可能會捕獲并阻止這些類型的漏洞進入已發(fā)布的產(chǎn)品。

什么是SQL?

SQL是一種特定于域的語言，旨在管理關系數(shù)據(jù)庫。關系數(shù)據(jù)庫將數(shù)據(jù)顯示為行和列中的表的集合。每行都有一個提供與其他表的關系的鍵。這是表“user”的示例：

 

與CWE Top 25中常見的漏洞枚舉有關的內(nèi)存錯誤

SQL是用于管理，查詢和處理關系數(shù)據(jù)庫中數(shù)據(jù)的首選語言。它定義數(shù)據(jù)庫創(chuàng)建中的表和關系。對于大多數(shù)日常使用，開發(fā)人員將SQL用于“CRUD”—創(chuàng)建、讀取、更新和刪除數(shù)據(jù)。

為什么SQL可利用?

通用編程語言不包括對SQL的支持。通過數(shù)據(jù)庫供應商提供的API訪問數(shù)據(jù)庫命令。在許多情況下，SQL命令以字符串形式發(fā)送，API會解釋該字符串并將其應用于數(shù)據(jù)庫。以下是一些簡單的SQL查詢：

典型的SQL查詢采用以下形式：

 

Select (something) from (somewhere) (optional condition) 

以上表為例，從姓氏為“Smith”的行中檢索電子郵件，使用以下SQL語句：

 

Select email from user where lastname = ‘Smith’ 

輸出如下：

 

Smith1234@mail.com 
John.smith@mail.netSmith1234@mail.com 

使用Web表單(見下文)從用戶那里獲取輸入是Web應用程序中的一種常見用例。 用戶在“名稱”字段中輸入的數(shù)據(jù)，例如，用于根據(jù)收到的輸入來形成SQL查詢。 考慮以下簡單的Web表單：

 

該軟件處理表單并將值分配給變量，如下所示：

 

String formName = request.getParameter(Name); 

輸入為“名稱”的字符串用于使用該用戶輸入來組合查詢：

 

String myQuery = “select message from user where email = ‘” + formName +”’;” 

使用此構(gòu)造的查詢：

 

Select message from user where email= ‘Smith1234@mail.com’; 

其輸出(以上表為例)如下：

 

Hello 
How are you 

希望很容易看到這一切都會出錯。假定直接在字符串中使用用戶輸入，那么了解SQL語法的人可以輕松地操縱它來生成SQL查詢?？紤]以下示例：

使用上面相同的表格，有人在電子郵件字段中輸入“Smith1234@mail.com”或“1” =“1”。

相同的代碼將組裝以下SQL查詢字符串：

 

Select message from user where email = ‘Smith1234@mail.com’ or ‘1’=’1’; 

添加看似無害的內(nèi)容(例如“or 1=1”)會更改查詢的邏輯，并可能通過返回表中稱為“用戶”的所有行來泄漏數(shù)據(jù)。在這種情況下，向您顯示表中每個用戶的消息。嚴重的隱私問題，在某些司法管轄區(qū)或環(huán)境中也可能存在法律問題，例如GDPR，HIPAA或CCPA。

上面的查詢以以下意外輸出結(jié)束：

 

Hello 
Password 1234 
How are youDon’t tell anyone 
Wassup 

SQL注入的工作方式

SQL注入(和其他類型的注入漏洞)的基本要點是在SQL查詢字符串中使用來自應用程序外部的未經(jīng)檢查的數(shù)據(jù)，例如用戶輸入文本。CWE 89的描述：“SQL命令中使用的特殊元素的不適當中和(SQL注入)”更精確地定義了以下內(nèi)容：

“在用戶可控制的輸入中沒有充分刪除或引用SQL語法的情況下，生成的SQL查詢可能導致這些輸入被解釋為SQL而不是普通用戶數(shù)據(jù)。這可用于更改查詢邏輯以繞過安全性檢查，或用于插入修改后端數(shù)據(jù)庫的其他語句，可能包括執(zhí)行系統(tǒng)命令。”

CWE數(shù)據(jù)庫中的相同條目(CWE 89)提供了此攻擊的另一個簡單示例。假設應用程序代表用戶“wiley”進行查詢，并且用戶以包含SQL指令的方式構(gòu)造輸入，例如：

 

name'; DELETE FROM items; -- 

如果此應用程序不對此輸入進行任何有效性檢查，則會構(gòu)造如下查詢：

 

SELECT * FROM items WHERE owner = 'wiley' AND itemname = 'name'; 
DELETE FROM items; 
--' 

如果此攻擊成功，它將刪除表項中的所有數(shù)據(jù)，從而對數(shù)據(jù)庫造成破壞。任何有效的SQL命令都可能以這種方式執(zhí)行。這是寫/修改攻擊的示例，其目的是破壞數(shù)據(jù)庫或插入不需要的信息。前面的示例(“or 1=1”)是讀取攻擊，其目的是數(shù)據(jù)泄漏。

數(shù)據(jù)庫服務器的許多實現(xiàn)都接受分號作為命令分隔符，這使得這種SQL注入非常危險。尾部的“–”表示文本的其余部分為注釋，從而迫使SQL解釋器忽略尾部的引號，否則將導致語法錯誤。欺騙組合查詢字符串的方法有多種。有時以開發(fā)人員無法想象的方式。

防止SQL注入的緩解措施

開發(fā)人員應實施幾種緩解措施。首先，安全立場應考慮所有來自不受信任的應用程序外部的數(shù)據(jù)。以下是典型的緩解策略：

• 將準備好的語句與參數(shù)化查詢一起使用。
• 使用存儲過程。
• 白名單輸入驗證。
• 轉(zhuǎn)義所有提供的輸入。

這些在OWASP速查表的SQL注入中有更詳細的描述。

測試SQL注入

一種典型的安全性方法是，在集成軟件運行時，作為常規(guī)質(zhì)量檢查操作的一部分，執(zhí)行各種類型的安全性測試。不幸的是，功能測試不會嘗試將漏洞利用插入用戶輸入字段中，因為大多數(shù)測試人員并不認為自己是壞演員。

除了傳統(tǒng)上他們沒有時間或方向的事實之外。手動測試注入類型漏洞也很困難，因為它需要嘗試許多不同的輸入組合。這是開始進行模糊測試或模糊測試的地方。它會創(chuàng)建隨機，意外和無效的數(shù)據(jù)作為被測應用程序的輸入。模糊測試是滲透測試的一部分，因為目標是通過公開的界面公開安全漏洞。

滲透測試

滲透性測試(以及擴展性的模糊測試)是有益的，因為它可以發(fā)現(xiàn)貫穿整個過程的安全性問題并揭示重要的安全性問題。但是，像所有動態(tài)測試一樣，它完全取決于測試，代碼和API覆蓋的數(shù)量，以完全測試所有可能的排列和組合。滲透測試取決于功能測試的完整性，通常在用戶界面級別進行。因此，請務必通過API測試和SAST支持滲透測試，以確保您的工作透徹。

API測試

API測試通過消除對脆弱且耗時的UI測試的依賴，有助于向左移動功能和安全性測試。API層是許多應用程序功能所駐留的地方，并且測試在此級別進行更改時更具彈性，并且更易于自動化和維護。

API級別的滲透測試

使用諸如Parasoft SOAtest之類的工具可以進行API級別的滲透測試以暴露SQL注入，在這些工具中，可以從現(xiàn)有功能測試中創(chuàng)建自動模糊測試，從而行使應用程序的業(yè)務邏輯。Parasoft SOAtest與著名的滲透測試工具Burp Suite集成在一起。

使用Parasoft SOAtest執(zhí)行功能測試方案時，將捕獲測試中定義的API調(diào)用以及請求和響應流量。每次測試中的Burp Suite分析工具都會將流量數(shù)據(jù)傳遞到Burp Suite應用程序的一個單獨的運行實例，該實例將根據(jù)其在流量數(shù)據(jù)中觀察到的API參數(shù)，使用自己的啟發(fā)式方法對API進行滲透測試。

然后，Burp Suite分析工具將獲取Burp Suite發(fā)現(xiàn)的任何錯誤，并將其報告為SOAtest中與訪問API的測試相關的錯誤。Parasoft SOAtest結(jié)果將報告到Parasoft的報告和分析儀表板中。有關其他報告功能。

要了解有關此集成的更多信息，請參閱我們以前的滲透測試文章。有關Portswigger關于使用Burp進行SQL注入的更多信息，請查看其文章。以下是與Burp集成的工作方式的表示：

 

將這種類型的滲透測試集成到您的CI/CD流程中是防御SQL注入和其他類型漏洞的重要組成部分。

滲透和模糊測試無疑是DevSecOps中的重要過程，并且至關重要。但是，這提出了問題。

• 測試檢測到安全漏洞時會發(fā)生什么?
• 當軟件團隊發(fā)現(xiàn)其大部分用戶輸入處理不安全時，會發(fā)生什么?
• 它當然需要修復，但是要付出什么代價?

在開發(fā)的后期發(fā)現(xiàn)嚴重的安全問題會導致嚴重的成本和延遲。預防和檢測是將安全操作進一步轉(zhuǎn)移到更便宜且更容易修復的地方的關鍵。

將SQL注入的檢測和消除向左移動

在軟件開發(fā)中采用DevSecOps方法意味著將安全性集成到DevOps管道的各個方面。正如團隊盡早在SDLC中推進代碼分析和單元測試等質(zhì)量流程一樣，安全性也是如此。

如果團隊更廣泛地采用這種方法，則SQL注入可能已成為過去。攻擊的增加意味著它尚未發(fā)生。無論如何，讓我們概述一種可以盡早防止SQL注入的方法。

與修補(和道歉!)已發(fā)布的應用程序相比，查找和修復潛在的SQL注入(以及其他注入漏洞)可節(jié)省大量時間。單個重大事件可能使公司損失20萬美元或更多。小型企業(yè)發(fā)生許多事件。一次攻擊會造成嚴重的財務壓力，更不用說有關違規(guī)披露和保護個人身份信息的潛在監(jiān)管問題了。

下面概述的“檢測和阻止”方法基于將減輕SQL注入的風險轉(zhuǎn)移到開發(fā)的最早階段，并通過通過靜態(tài)代碼分析進行檢測來增強此功能。

如何檢測SQL注入

檢測SQL注入依賴于靜態(tài)分析來在源代碼中找到這些類型的漏洞。檢測發(fā)生在開發(fā)人員的桌面和構(gòu)建系統(tǒng)中。它可以包括現(xiàn)有的、舊的和第三方代碼。

連續(xù)檢測安全問題可確保發(fā)現(xiàn)以下所有問題：

• 開發(fā)人員錯過了IDE。
• 存在于比您的新的檢測預防方法還早的代碼中。

推薦的方法是信任但驗證模型。安全性分析在IDE級別進行，開發(fā)人員在該級別上根據(jù)收到的報告做出實時決策。接下來，在構(gòu)建級別進行驗證。理想情況下，構(gòu)建級別的目標不是找到漏洞。這是為了驗證系統(tǒng)是否干凈。

例如，以Parasoft的演示應用程序Parabank為例。com.parasoft.parabank.dao.jdbc.internal中的StockDataInserter.java文件中可能存在SQL注入：

 

… 
final String sql = sb.toString(); 
rows = (nextId - lastId) / JdbcSequenceDao.OFFSET;totalRows += rows;getJdbcTemplate().update(sql);… 

Parasoft JTest在生成時生成的報告如下：

 

 

詳細信息如下：

 

Call to a dangerous method 
StockDataInserter.java (96): getJdbcTemplate().update(sql); *** Tainted data: SQL 

追溯到先前發(fā)現(xiàn)源污染數(shù)據(jù)(來自應用程序外部的未經(jīng)檢查、未經(jīng)驗證的輸入)的位置：

 

Tainting point 
StockDataInserter.java (47): return getJdbcTemplate().query(SQL, new 
ResultSetExtractor<List<String>>() { *** Tainted data: 
getJdbcTemplate().query(SQL, new ResultSetExtractor<List<Str...return 
symbols; } }) 

在與SQL注入的持續(xù)斗爭中，開發(fā)人員需要認真對待這些警告。在SQL查詢中任何使用未經(jīng)驗證的數(shù)據(jù)都是嚴重的風險。即使當前的形式可能不是一個特定的警告問題，以后的重構(gòu)也可能會暴露這些漏洞。檢查查詢字符串中使用的所有數(shù)據(jù)!

實際上，開發(fā)人員應驗證來自應用程序外部的任何數(shù)據(jù)，以確保它們符合預期的格式和內(nèi)容。轉(zhuǎn)向“始終驗證”的理念以及依靠安全編碼而不是安全測試的過程會大大提高應用程序的安全性。開始加強代碼，以防止SQL注入首先被封裝。

何時以及如何防止SQL注入

防止SQL注入的理想時間和地點是開發(fā)人員在其IDE中編寫代碼時。采納安全編碼標準(例如C和C++的SEI CERT C和Java和.NET的OWASP Top 10或CWE Top 25)的團隊都具有警告未驗證SQL查詢輸入的準則。

在新創(chuàng)建的代碼上運行靜態(tài)分析既快速又簡單，并且很容易集成到CI/CD流程中。在現(xiàn)階段調(diào)查所有安全警告和不安全的編碼做法是一個好習慣，以防止將此代碼寫入到內(nèi)部版本中。

 

 

檢測不良編碼實踐的同等重要的部分是報告的實用性。重要的是要能夠理解靜態(tài)分析違規(guī)的根本原因，以便快速、有效地解決它們。這就是Parasoft的C/C++test，dotTEST和Jtest等商業(yè)工具的發(fā)源地。

Parasoft的自動測試工具可對警告進行完整跟蹤，在IDE中進行說明，并連續(xù)收集構(gòu)建信息和其他信息。這些收集的數(shù)據(jù)以及測試結(jié)果和指標可提供對團隊編碼標準合規(guī)性的全面了解。它還顯示了總體質(zhì)量和安全狀態(tài)。

這些報告包括風險模型，這些模型是OWASP，CERT和CWE提供的信息的一部分。這樣，開發(fā)人員可以更好地了解該工具報告的潛在漏洞的影響以及應優(yōu)先考慮哪些漏洞。在IDE級別生成的所有數(shù)據(jù)都與上面概述的下游活動相關。

總結(jié)

臭名昭著的SQL注入漏洞繼續(xù)困擾著Web應用程序。盡管知道它是如何工作和可以被利用的，但它仍然很普遍。有關最新示例，請參見IoT Hall of Shame。

我們提出一種預防和檢測方法來補充主動安全測試。這種方法可防止在寫入代碼之前盡早在SDLC中進行SQL注入。防止在IDE上進行SQL注入并在CI/CD管道中檢測到它們是將其路由到軟件之外的關鍵。最后，在使用滲透測試技術的測試過程中查找并修復這些錯誤。

與SQL注入(以及其他受污染數(shù)據(jù)的利用)的斗爭仍在繼續(xù)。精明的團隊可以在他們現(xiàn)有的工作流程中以正確的流程、工具和自動化扭轉(zhuǎn)局面。