SQL-injektioner: Angreb på din sides hjerte

Tobias Schüring Senest opdateret den 15.
6 Min.
SQL-injektioner

Udover Brute Force Angreb bliver ved med at dukke op WordPress SQL-injektioner på listen over de største trusler mod WordPress Sider. Disse er relativt let manipulation sitdowns på databasen på dine sider. Dette giver hackere adgang til følsomme data eller oprette admin konti selv og kan manipulere dit websted efter betændt. Vi viser, hvordan angrebet virker, og hvorfor det er så farligt.

Marts 2008: Hackere (herunder en sand mastermind,ved den måde ) få 134 millioner kreditkortoplysninger fra det amerikanske selskab Heartland Payment Systems. Medio 2016: Mistænkte russiske hackere får adgang til databasen over registrerede vælgere i Illinois State Board of Elections. Noget lignende sker i Arizona. Februar 2017: Den amerikanske våbensælger Airsoft GI stey data fra 65.000 brugerkonti. Marts 2017: Mistænkte kinesiske hackere får adgang til personlige data fra 4.000 kunder i en koreansk app og sender nogle gange uanstændige tekstbeskeder til ofrene.

Alle disse angreb har én ting til fælles: bag dette er en relativt let hack kaldet SQL injektion. Dette angreb giver hackere adgang til databasen og dermed til alle brugerdata på en side. Faktisk betragtes SQL-injektioner som en af de største trusler mod webstedsoperatører. Også og især for webmastere, der hovedsageligt er WordPress Arbejde.

Og da i hvert fald siden WooCommerce især større og mere komplekse butikker uden problemer med WordPress kan betjenes, er det vigtigt at forstå, atrisikoniveauet for WordPress SQL-injektion, og hvordan de fungerer.

Hvor "farlige" er WordPress SQL-injektioner?

Spørgsmålet om en WordPress hacks kan ikke besvares i form af en enkelt indikator. Tværtimod skal man overveje mindst to aspekter: på den ene side sandsynligheden for, at ens egen WordPress - WordPress projekter kan blive offer for et sådant angreb, samt den skade, som et hack kan forårsage.

Brute Force Angreb, for eksempel, antallet af angreb, der udføres hver måned er så høj (nogle gange over 1 milliard målte angreb + urapporteret antal), at man rent faktisk kan sige, at hver WordPress - WordPress projekter før eller senere vil blive ramt af et sådant angreb. Den skade, der kan gøres ved en vellykket hack er mangfoldig. For det meste tjene Brute Force Angreb også at kapre hjemmesider og integrere dem i et botnet. Cross-site scripting, på den anden side, er meget sjældnere, men bruges primært til at inficere websider med ondsindet kode.

Det åbne webprogramsikkerhedsprojekt (OWASP), en nonprofitorganisation, udgiver regelmæssigt en top 10-liste over de største sikkerhedsrisici for webapplikationer. Og SQL-injektioner indtager konsekvent førstepladsen her, også på den (omend foreløbige) liste for 2017.

En grafisk af de 10 største sikkerhedsrisici for webapplikationer, der regelmæssigt frigives af den non-profit organisation OWASP, kan ses. SQL-injektioner rangerer først.
Den non-profit organisation OWASP offentliggør regelmæssigt en top 10 liste over de største sikkerhedsrisici for webapplikationer. SQL-injektioner indtager regelmæssigt topplaceringen her.

Faktisk er SQL-injektioner kommet for at blive. Hacket har været kendt i over 15 år. Og ifølge Akamai State of the Internet Security Report for 2017 er hyppigheden af SQL-angreb steget med 28 procent siden første kvartal af 2016. I første kvartal af 2017 var SQL-injektioner de mest almindeligt udførte hacks med 44 procent af angrebene. 

Her er en illustration af, at SQL-injektion er det mest almindeligt udførte hack med 44% af angrebene i første kvartal af 2017.
I første kvartal af 2017 var SQL-injektion det mest almindeligt udførte hack med 44% af angrebene ifølge Akamai State of the Internet Security Report 2017.

Wordfence ,Producent af en sikkerhedssoftware til WordPress , konkluderer, at SQL-injektioner er specielt designet til WordPress brugere udgør en stor fare. A Analyse af næsten 1.600 sikkerhedssvagheder i Plugins rapporteret over en 14-måneders periode viser tydeligt, at SQL-injektioner er den næsthyppigste sikkerhedsrisiko nogensinde for WordPress sider er.

Grafen viser tydeligt, at SQL-injektioner er den næsthyppigste sikkerhedsrisiko nogensinde for WordPress sider er.
Grafen viser, at SQL-injektioner er den næsthyppigste sikkerhedsrisiko nogensinde for WordPress sider er.

Med alle disse tal, selvfølgelig, er du nødt til at indse, at det mørke tal er meget højere - ofte SQL-angreb er nifly bemærket, og derefter ikke vises i nogen statistik.

Tallene viser, at WordPress SQL-injektioner af Brute Force Angreb og XSS huller er blandt de mest almindelige typer af angreb. Desuden er SQL-injektioner rettet mod et særligt følsomt område på siden: databasen. Især for butiksoperatører er disse hacks derfor en eksistentiel trussel.  Derfor er det vigtigt at forstå, hvordan de fungerer, og hvad du kan gøre ved dem.

WordPress SQL-injektioner målretter mod hjertet på din side: Databasen

For at forstå, hvordan SQL-injektion fungerer, skal du forstå, hvordan WordPress er grundlæggende struktureret. Hvis du allerede ved dette, kan du roligt springe dette afsnit over.

Databasen er grundlaget for hver enkelt WordPress -Installation: Alt indhold gemmes her. CMS selv gør det derefter muligt at vise og redigere dette indhold.På WordPress er en MySQL-database. SQL står for Structured Query Language, et komplet programmeringssprog, der kan bruges til at oprette strukturer i en database og indsætte, redigere og slette data.

Hver gang du skriver en artikel, opretter en ny kategori, ændrer din adgangskode, eller endda når brugerne skriver en kommentar, gemmes disse nye data i databasen. Så her ligger hvert eneste indhold på dit websted.

WordPress trækker altid de relevante data ud af databasen, når en bruger ser din side og anmoder om bestemt indhold, fletter den med PHP og opretter et HTML-dokument, der til sidst overføres til brugerens browser. Brugeren får ingen oplysninger om alle de begivenheder, der finder sted i op til dette punkt.

SQL-injektioner indsætter ekstern kode i databasen

Selv hvis du aldrig bruger databasen direkte, men kun med WordPress -Backend agierst: Databasen er hjertet på din hjemmeside.

Men som jeg sagde, brugere er også i stand til at indtaste data i databasen. Skriv en kommentar, opret en brugerkonto, udfyld og send en kontaktpersonformular – alle disse handlinger genererer data, der er gemt i databasen.

Men hvad nu, hvis nogen bruger denne indirekte adgang til din database til at smugle ondsindet kode ind i databasen? Så taler vi om SQL-indsprøjtning.

Ideen bag dette er ikke engang særlig kompliceret: Hvis der ikke er nogen sikkerhedsforanstaltninger, behøver hackeren kun at indtaste SQL-kode i et formularfelt (e.B. når du skriver en kommentar). Den indeholder f.eks. tegn, der har en særlig funktion til SQL-fortolkeren, som er ansvarlig for at udføre SQL-kommandoer i databasen. Sådanne specialtegn, kaldet metategn, er for eksempel; " ' og .

CMS mener, at dette er harmløse data og sender inputtet som sædvanligt til databasen med ordren for at gemme det. SQL-fortolkeren genkender koden fra metategnene som et job og udfører databasekommandoen.

Af den måde, gælder SQL injektioner ligesom de gjorde Brute Force -Angreb: Næsten aldrig en hacker sidder alene på computeren og manuelt indtaster koder i former. Disse angreb løber også gennem automatiserede botnets, som samtidig scanner tusinder af websteder for sårbarheder og strejker, hvor de opdager en.

Hvad kan der ske nu?

  • Hackeren omgår alle godkendelsesmekanismer eller gemmer sig bag identiteten på en eksisterende bruger for at få adgang. For eksempel, hvis en hacker opretter en ny admin-konto, kaldes den også en Priviledge Escalation Exploit.
  • På denne måde kan det spionere, ændre eller slette data. Dette er især vigtigt, hvis du driver en online butik og har dine kunders betalingsoplysninger.
  • Det kan tage kontrol over hele din hjemmeside og webspace, for eksempel ved at logge ind som en admin og dermed få adgang til din backend. Så en hacker har fuld kontrol over dit websted og kan bruge det som en spam slingshot, bringe ondsindet kode eller indsætte det i et botnet.

Konklusion: Netop på grund af automatisering, WordPress SQL Injektioner meget farligt

WordPress SQL injektioner er blandt de farligste hacks nogensinde. De er nemme at udføre, for det meste automatiserede, og kan forårsage massive skader: Især for butiksoperatører er faren fra SQL-injektioner eksistentiel.

Derfor er det vigtigt at beskytte dit websted i overensstemmelse hermed: brugerinput skal kontrolleres og rengøres. Du bør også maskere data for at forhindre skadelig kode i at køre. Denne proces kaldes Data Sanitization and Validation og bruges f.eks. WordPress Codex er dækket i detaljer. I en af følgende artikler går vi dog mere i detaljer om emnet og viser dig, hvordan du forhindrer, at skadelig kode bliver aktiv i din database.

Omfattende sikkerhed Plugins Dernæst: Især er de i stand til at blokere automatiserede angreb på dine websteder, som er grundlaget for mange hacks.

Som systemadministrator overvåger Tobias vores infrastruktur og finder alle justeringsskruer for at optimere vores serveres ydeevne. På grund af hans utrættelige indsats, er han ofte også Slack findes.

Lignende artikler

Kommentarer til denne artikel

Skriv svar på en

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *.