Vpichy SQL: Útoky na srdce vaší stránky

Tobias Schüring Naposledy aktualizováno 15. ledna 2020
6 min.
Výtažky SQL

Kromě Brute Force Útoky se stále vyskakují WordPress Výtažky SQL na seznamu největších hrozeb pro WordPress Stránky. Jedná se o relativně snadnou manipulaci s databázemi vašich stránek. To umožňuje hackerům přístup k citlivým datům nebo nastavení účtů správce sami a může manipulovat s vaším webem podle vůli. Ukážeme, jak útok funguje a proč je tak nebezpečný.

Březen 2008: Hackeři (mimochodem včetně skutečného génia) získají 134 milionů údajů o kreditní kartě od americké společnosti Heartland Payment Systems. Polovina roku 2016: Podezřelí ruští hackeři získají přístup do databáze registrovaných voličů illinoiské státní volební komise. Něco podobného se děje v Arizoně. Únor 2017: Americký prodejce zbraní Airsoft GI stey data z 65 000 uživatelských účtů. Březen 2017: Podezřelí čínští hackeři přistupují k osobním údajům 4 000 zákazníků korejské aplikace a někdy posílají obětem obscénní textové zprávy.

Všechny tyto útoky mají jednu věc společnou: za tím je relativně snadný hack zvaný SQL injection. Tento útok poskytuje hackerům přístup k databázi a tím ke všem uživatelským datům stránky. Ve skutečnosti jsou injekce SQL považovány za jednu z největších hrozeb pro provozovatele webových stránek. Také a zejména pro webmastery, kteří jsou hlavně WordPress Práce.

A od té doby alespoň od té doby WooCommerce obzvláště větší a složitější obchody bez problémů WordPress mohou být provozovány, je důležité si uvědomit, žeúroveň rizika WordPress SQL Injection a jak fungují.

Jak "nebezpečné" jsou WordPress SQL injekce?

Otázka "nebezpečnosti" WordPress hacky nelze zodpovědět ve formě jediného indikátoru. Naopak, je třeba vzít v úvahu alespoň dva aspekty: na jedné straně pravděpodobnost, s jakou vlastní WordPress - WordPress projekty se mohou stát obětí takového útoku, stejně jako škody, které může hack způsobit.

Na Brute Force Například počet útoků prováděných každý měsíc je tak vysoký (někdy přes 1 miliardu měřených útoků + neohlášený počet), že lze skutečně říci, že každý WordPress - WordPress projekty budou dříve či později terčem takového útoku. Škody, které může být způsobeny úspěšným hackem, jsou rozmanité. Většinou slouží Brute Force Útoky také zneužívá webové stránky a integruje je do botnetu. Skriptování mezi weby je na druhou stranu mnohem vzácnější, ale používá se především k infikování webových stránek škodlivým kódem.

Projekt zabezpečení otevřených webových aplikací (OWASP), nezisková organizace, pravidelně zveřejňuje seznam 10 největších bezpečnostních rizik pro webové aplikace. A injekce SQL zde trvale zaujímají první místo, také na (i když prozatímním) seznamu pro rok 2017.

K vidění je grafika 10 nejlepších bezpečnostních rizik pro webové aplikace pravidelně uvolňují neziskové organizace OWASP. Vpichy SQL jsou na prvním místě.
Nezisková organizace OWASP pravidelně zveřejňuje seznam 10 největších bezpečnostních rizik pro webové aplikace. Sql injekce pravidelně zaujímají přední místo zde.

Ve skutečnosti se injekce SQL zůstaly. Hack je známý více než 15 let. A podle zprávy Akamai State of the Internet Security Report za rok 2017 se frekvence útoků SQL od prvního čtvrtletí 2016 zvýšila o 28 procent. V prvním čtvrtletí roku 2017 byly nejčastěji prováděnými hacky injektáž SQL se 44 procenty útoků. 

Zde je ilustrace, že SQL injection je nejčastěji prováděný hack, se 44% útoků v prvním čtvrtletí 2017.
V prvním čtvrtletí roku 2017 byla injekce SQL nejčastěji prováděným hackem se 44% útoků, podle Akamai State of the Internet Security Report 2017.

Wordfence ,Výrobce bezpečnostního softwaru pro WordPress , dospěl k závěru, že injektáž SQL je speciálně navržena pro WordPress uživatelé představují velké nebezpečí. A Analýza téměř 1 600 chyb zabezpečení Plugins hlášené během 14měsíčního období jasně ukazuje, že injekce SQL jsou druhým nejčastějším bezpečnostním rizikem vůbec WordPress stránky jsou.

Graf jasně ukazuje, že SQL Injections je druhým nejčastějším bezpečnostním rizikem vůbec WordPress stránky jsou.
Graf ukazuje, že SQL Injections je druhým nejčastějším bezpečnostním rizikem vůbec WordPress stránky jsou.

Se všemi těmito čísly si samozřejmě musíte uvědomit, že tmavé číslo je mnohem vyšší – často jsou útoky SQL zaznamenány a pak se nezobrazí v žádné statistice.

Čísla ukazují, že WordPress Výtažky SQL podle Brute Force Útoky a mezery VSS patří mezi nejběžnější typy útoků. Kromě toho se výtažky SQL zaměřují na obzvláště citlivou oblast stránky: databázi. Zejména pro provozovatele obchodů jsou proto tyto hacky existenční hrozbou.  Proto je důležité pochopit, jak fungují a co s nimi můžete udělat.

WordPress Vpichy SQL cílí na srdce vaší stránky: Databáze

Chcete-li pochopit, jak vpich SQL funguje, musíte pochopit, jak WordPress je v zásadě strukturován. Pokud to již víte, můžete tuto část bezpečně přeskočit.

Databáze je základem pro každou WordPress -Instalace: Veškerý obsah je uložen zde. Samotný CMS pak umožňuje zobrazit a upravit tento obsah.Na WordPress je databáze MySQL. SQL znamená Strukturovaný dotazovací jazyk, plnohodnotný programovací jazyk, který lze použít k vytváření struktur v databázi a vkládání, úpravám a odstraňování dat.

Pokaždé, když napíšete článek, vytvoříte novou kategorii, změníte heslo nebo i když uživatelé napíší komentář, budou tato nová data uložena v databázi. Takže zde leží každý jednotlivý obsah vašeho webu.

WordPress vždy vytáhne příslušná data z databáze, kdykoli uživatel prohlíží vaši stránku a požaduje určitý obsah, sloučí ji s PHP a vytvoří dokument HTML, který je nakonec přenesen do prohlížeče uživatele. Uživatel nedostane žádné informace o všech událostech, které se do té míry konají.

Vkládání SQL vkládá externí kód do databáze

I když databázi nikdy nepoužíváte přímo, ale pouze WordPress -Backend agierst: Databáze je srdcem vašich webových stránek.

Ale jak jsem řekl, uživatelé jsou také schopni zadat data do databáze. Napište komentář, vytvořte uživatelský účet, vyplňte a odešlete kontaktní formulář – všechny tyto akce generují data uložená v databázi.

Ale co když někdo použije tento nepřímý přístup k vaší databázi k propašování škodlivého kódu do databáze? Pak mluvíme o vpichu SQL.

Myšlenka, která za tím stojí, není ani zvlášť složitá: pokud neexistují žádná bezpečnostní opatření, hacker musí zadat SQL kód pouze do pole formuláře (např.B. při psaní komentáře). Obsahuje například znaky, které mají speciální funkci pro interpret SQL , který je zodpovědný za provádění příkazů SQL v databázi. Takové speciální znaky, nazývané metaznaky, jsou například; " ' a .

CMS se domnívá, že se jedná o neškodná data a předává vstup jako obvykle do databáze s příkazem k jejich uložení. Sql interpret rozpozná kód metaznaky jako úlohu a spustí příkaz databáze.

Mimochodem, SQL injekce platí stejně jako oni Brute Force -Útoky: Téměř nikdy hacker nesedí sám v počítači a ručně zadává kódy do formulářů. Tyto útoky také běží prostřednictvím automatizovaných botnetů, které současně skenují tisíce webových stránek na zranitelnosti a udeří tam, kde je objeví.

Co se teď může stát?

  • Hacker obejde všechny ověřovací mechanismy nebo se skryje za identitu existujícího uživatele, aby získal přístup. Pokud například hacker vytvoří nový účet správce, označuje se také jako zneužití eskalace priviledge.
  • Tímto způsobem může špehovat, upravovat nebo odstraňovat data. To je obzvláště důležité, pokud provozujete internetový obchod a máte platební údaje svých zákazníků.
  • Může převzít kontrolu nad celým vaším webem a webovým prostorem, například přihlášením jako správce a získáním přístupu k vašemu back-endu. Takže hacker má plnou kontrolu nad vaším webem a může jej použít jako spamový prak, přinést škodlivý kód nebo jej vložit do botnetu.

Závěr: Právě kvůli automatizaci, WordPress SQL Injekce velmi nebezpečné

WordPress SQL injekce patří mezi nejnebezpečnější hacky vůbec. Jsou snadno ovladávat, většinou automatizované, a mohou způsobit obrovské škody: zejména pro provozovatele obchodů je nebezpečí z injekcí SQL existenční.

Proto je důležité odpovídajícím způsobem chránit váš web: vstup uživatele musí být zkontrolován a vyčištěn. Měli byste také maskovat data, abyste zabránili spuštění škodlivého kódu. Tento proces se nazývá sanitace a validace dat a používá se například v WordPress Kodex je podrobně popsán. V jednom z následujících článků se však podrobněji o tématu sejdeme a ukážeme vám, jak zabránit tomu, aby se škodlivý kód stal aktivním ve vaší databázi.

Komplexní bezpečnost Plugins Další: Zejména jsou schopni blokovat automatizované útoky na vaše stránky, které jsou základem pro mnoho hacků.

Jako správce systému společnosti monitoruje Tobias naši infrastrukturu a najde veškeré body pro optimalizaci výkonu našich serverů. Vzhledem k jeho neúnavnému úsilí ho lze často nalézt na Slacku i v noci.

Podobné výrobky

Komentáře k tomuto článku

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinná pole jsou označena *.