SQL-Injections: Ataki na serce twojej strony

6 Min.
Zastrzyki SQL

Poza Brute Force Ataki Nurkować w kółko WordPress Zastrzyki SQL na liście największych zagrożeń dla WordPress miejsc. Są to stosunkowo proste manipulacje do bazy danych twoich stron. Hakerzy mogą uzyskać dostęp do poufnych danych lub skonfigurować własne konta administratora i dowolnie manipulować Twoją stroną. Pokazujemy, jak działa atak i dlaczego jest tak niebezpieczny.

Marzec 2008: Haker (w tym prawdziwy mastermind) chwytać się 134 mln danych dotyczących kart kredytowych w amerykańskiej grupie Heartland Payment Systems. Połowa 2016 r.: Prawdopodobnie rosyjscy hakerzy nabywają Dostęp do bazy danych zarejestrowanych wyborców Rady Wyborczej Stanu Illinois. Coś podobnego się dzieje w Arizonie. Luty 2017: Amerykański handlarz bronią Airsoft GI ma być Dane skradzione z 65.000 kont użytkowników. Marzec 2017: Domniemani chińscy hakerzy zdobywają dane osobowe 4000 klientów koreańskiej aplikacji i wysyłają częściowo nieprzyzwoite wiadomości tekstowe do ofiar.

Wszystkie te ataki mają jedną wspólną cechę: za nimi kryje się stosunkowo prosty hack zwany SQL injection. W tym ataku hakerzy uzyskują dostęp do bazy danych, a tym samym do wszystkich danych użytkownika danej strony. Dlatego też SQL-Injections są uważane za jedno z największych niebezpieczeństw dla operatorów stron internetowych. Również i szczególnie dla webmasterów, z WordPress którymi głównie pracujemy.

A ponieważ w WooCommerce szczególności większe i bardziej złożone sklepy były w stanie WordPress działać bez żadnych problemów, ważne jest, aby zrozumieć, jak wysokie jest ryzyko wstrzyknięcia WordPress SQL jest i jak to Praca.

Jak bardzo "niebezpieczne" są zastrzyki WordPress SQL?

Na pytanie o "niebezpieczeństwo" WordPress hakera nie można odpowiedzieć w formie jednego wskaźnika. Zamiast tego należy wziąć pod uwagę co najmniej dwa aspekty: Po pierwsze, prawdopodobieństwo, że własne WordPress -WordPress projekty mogą paść ofiarą takiego ataku, oraz szkody, jakie może wyrządzić hack.

Na stronie Brute Force Ataki na przykład, liczba ataków miesięcznie jest tak duża (czasami ponad 1 miliard zmierzonych ataków + szacunkowa liczba niezgłoszonych ataków), że można powiedzieć, że każdy WordPress -WordPress wcześniej czy później - projekt jest tak duży. staje się celem takiego ataku. Uszkodzenia, które mogą być spowodowane przez udane włamanie, są wielorakie. Większość Brute Force ataków jest również wykorzystywana do porywania stron internetowych i integrowania ich z botnetem. Cross-site scripting z drugiej strony, występuje znacznie rzadziej, ale jest używany głównie do tworzenia stron internetowych z Zainfekować złośliwy kod.

Organizacja non-profit Open Web Application Security Project (OWASP) regularnie publikuje listę 10 największych zagrożeń dla bezpieczeństwa aplikacji internetowych. A SQL-Injections zajmują tutaj pierwsze miejsce na stałe, nawet na (choć tymczasowe) Lista na rok 2017.

Widoczna jest grafika z listy 10 największych zagrożeń dla bezpieczeństwa aplikacji internetowych, która jest regularnie publikowana przez organizację non-profit OWASP. Zastrzyki SQL zajmują tu pierwsze miejsce.
Organizacja non-profit OWASP regularnie publikuje listę 10 największych zagrożeń dla bezpieczeństwa aplikacji internetowych. SQL-Injections regularnie zajmują tu pierwsze miejsce.

W rzeczywistości zastrzyki SQL zostały. Hack jest znany od ponad 15 lat. I zgodnie z raportem o stanie bezpieczeństwa w Internecie za rok 2017, sporządzonym przez Akamai State of the Internet Security Report od pierwszego kwartału 2016 roku częstotliwość ataków SQL wzrosła o 28 procent. W pierwszym kwartale 2017 roku zastrzyki SQL były najczęściej wykonywanymi hakerami, stanowiąc 44% ataków. 

Zilustrowano tutaj, że w pierwszym kwartale 2017 r. SQL injection jest najczęściej wykonywanym hakerem, z 44% ataków.
Według raportu Akamai State of the Internet Security Report 2017, SQL injection był najczęściej wykonywanym hakerem w pierwszym kwartale 2017 roku, z 44% ataków.

Wordfence, Producent oprogramowania zabezpieczającego dla WordPress , dochodzi do wniosku, że zastrzyki SQL są dużym zagrożeniem zwłaszcza dla WordPress użytkowników. A Analiza prawie 1600 luk w zabezpieczeniach w Pluginsktóre były zgłaszane przez okres 14 miesięcy, wyraźnie pokazuje, że zastrzyki SQL są drugim najczęstszym zagrożeniem dla bezpieczeństwa WordPress witryn.

Wykres wyraźnie pokazuje, że zastrzyki SQL są drugim co do częstości zagrożenia bezpieczeństwa dla WordPress stron.
Wykres pokazuje, że zastrzyki SQL są drugim najczęstszym zagrożeniem dla bezpieczeństwa WordPress stron.

Przy tych wszystkich liczbach należy pamiętać, że liczba niezgłoszonych przypadków jest znacznie wyższa - często ataki SQL nie są w ogóle zauważane i nie pojawiają się w żadnych statystykach.

Liczby pokazują, że zastrzyki WordPress SQL są wykonywane zgodnie z Brute Force Ataki lub Luki XSS są jednym z najczęstszych rodzajów ataku ze wszystkich. Zastrzyki SQL skierowane są również do szczególnie wrażliwego obszaru Twojej witryny: Twojej bazy danych. Zwłaszcza dla właścicieli sklepów te hacki są zagrożeniem egzystencjalnym. Dlatego ważne jest, aby zrozumieć, jak one działają i co można z nimi zrobić.

WordPress Zastrzyki SQL mają na celu serce twojej strony: Baza danych

Aby zrozumieć, jak działa zastrzyk SQL, musisz zrozumieć WordPress podstawową strukturę. Jeśli już to wiesz, możesz bezpiecznie pominąć tę sekcję.

Baza danych jest podstawą każdej WordPress instalacji: wszystkie treści są przechowywane tutaj. Sam CMS umożliwia następnie wyświetlanie i edycję tej zawartości. To WordPress jest baza danych MySQL. SQL oznacza Structured Query Language, w pełni funkcjonalny język programowania, który może być używany do tworzenia struktur w bazie danych oraz do wstawiania, modyfikacji i usuwania danych.

Za każdym razem, gdy piszesz artykuł, tworzysz nową kategorię, zmieniasz hasło lub nawet gdy twoi użytkownicy piszą komentarz, te nowe dane są przechowywane w bazie danych. Tak więc, tutaj jest każda pojedyncza zawartość twojej strony internetowej.

WordPress Za każdym razem, gdy użytkownik odwiedza Twoją stronę i żąda określonej treści, pobiera odpowiednie dane z bazy danych, łączy je z PHP i tworzy dokument HTML, który jest ostatecznie wysyłany do przeglądarki użytkownika. Użytkownik nie zauważa żadnych procesów, które mają miejsce do tego czasu.

Wstrzykiwacze SQL przemycają kod zewnętrzny do bazy danych

Nawet jeśli nigdy nie wchodzisz w bezpośrednią interakcję z bazą danych, a jedynie z WordPress backendem: Baza danych jest sercem Twojej strony internetowej.

Ale jak już powiedziałem, użytkownicy mogą również wprowadzać dane do bazy danych. Napisanie komentarza, utworzenie konta użytkownika, wypełnienie formularza kontaktowego i przesłanie go - wszystkie te czynności generują dane, które są przechowywane w bazie danych.

Ale co jeśli ktoś używa tego pośredniego dostępu do twojej bazy danych do przemycania złośliwego kodu do bazy danych? Następnie nazywa się to zastrzykiem SQL.

Pomysł, który za tym stoi, nie jest nawet szczególnie skomplikowany: Jeśli nie ma żadnych zabezpieczeń, haker musi jedynie wprowadzić kod SQL do pola formularza (np. podczas pisania komentarza). Zawiera znaki, które mają specjalną funkcję dla interpretatora SQL - który jest odpowiedzialny za wykonywanie poleceń SQL w bazie danych. Takimi znakami specjalnymi, zwanymi meta znakami, są na przykład ; " " i \".

CMS uważa, że dane są nieszkodliwe i przekazuje dane wejściowe do bazy danych z kolejnością ich zapisywania jak zwykle. Interpretator SQL rozpoznaje kod po meta-znakach jako żądanie akcji i wykonuje polecenie bazy danych.

Przy okazji, to samo dotyczy wstrzyknięć SQL jak i Brute Forceataków: prawie nigdy nie ma hakera siedzącego samotnie przy komputerze i ręcznie wprowadzającego kody do formularzy. Ataki te przeprowadzane są również za pomocą automatycznych botnetów, które jednocześnie skanują tysiące stron internetowych w poszukiwaniu słabych punktów i uderzają tam, gdzie je znajdują.

Co może się teraz stać?

  • Haker omija wszelkie mechanizmy uwierzytelniania lub ukrywa się za tożsamością istniejącego użytkownika, aby uzyskać dostęp. Na przykład, jeśli haker tworzy nowe konto administratora, mówi się również o Eksploatacja w cywilu..
  • W ten sposób może szpiegować, zmieniać lub usuwać dane. Jest to szczególnie ważne, jeśli prowadzisz sklep internetowy i masz do dyspozycji dane dotyczące płatności swoich klientów.
  • Może on przejąć kontrolę nad całą Twoją stroną i przestrzenią internetową, na przykład logując się jako administrator i uzyskując dostęp do Twojego backendu. W ten sposób haker ma pełną kontrolę nad Twoją stroną i może nadużywać jej jako spam-slinger, wprowadzać złośliwy kod lub wprowadzać go do botnetu.

Wniosek: Zastrzyki WordPress SQL są bardzo niebezpieczne ze względu na automatyzację.

WordPress Zastrzyki SQL są jednymi z najbardziej niebezpiecznych hackerów ze wszystkich. Są one łatwe do wykonania, w większości zautomatyzowane i mogą powodować ogromne szkody: Zwłaszcza dla właścicieli sklepów niebezpieczeństwo wstrzyknięcia kodu SQL jest istotne.

Dlatego ważne jest, aby odpowiednio chronić swoją stronę: Dane wejściowe użytkownika muszą być sprawdzone i oczyszczone. Należy również maskować dane, aby zapobiec wykonaniu złośliwego kodu. Proces ten nosi nazwę Sanityzacji i Walidacji Danych i jest stosowany np. w WordPress Codex jest szczegółowo omówiony. Jednak w jednym z poniższych artykułów zagłębimy się bardziej szczegółowo i pokażemy, jak zapobiec uaktywnieniu się złośliwego kodu w Twojej bazie danych.

Kompleksowe bezpieczeństwoPlugins ma tu również zasadnicze znaczenie: są one szczególnie zdolne do blokowania automatycznych ataków na Państwa strony, które są podstawą wielu włamań.

Artykuły pokrewne

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.