SQL-injektioner: Attacker på sidans hjärta

Tobias Schüring Senast uppdaterad den 15 januari 2020
6 Min.
SQL-injektioner

Förutom Brute Force Attacker dyker upp hela tiden WordPress SQL-injektioner på listan över de största hoten mot WordPress Sidor. Det här är relativt enkla manipulerings sitdowns i databasen på dina sidor. Detta gör det möjligt för hackare att komma åt känsliga data eller ställa in administratörskonton själva och kan manipulera din webbplats när du vill. Vi visar hur attacken fungerar och varför den är så farlig.

Mars 2008: Hackare (inklusive en sann mastermind,förresten ) erhåller 134 miljoner kreditkortsuppgifter från det amerikanska företaget Heartland Payment Systems. Mitten av 2016: Misstänkta ryska hackare får tillgång till databasen över registrerade väljare i Illinois State Board of Elections. Något liknande händer i Arizona. Februari 2017: Den amerikanska vapenförsäljaren Airsoft GI stey data från 65 000 användarkonton. Mars 2017: Misstänkta kinesiska hackare får tillgång till personuppgifter från 4 000 kunder i en koreansk app och skickar ibland obscena textmeddelanden till offren.

Alla dessa attacker har en sak gemensamt: bakom detta finns ett relativt enkelt hack som kallas SQL-injektion. Denna attack ger hackare tillgång till databasen och därmed till all användardata på en sida. Faktum är att SQL-injektioner anses vara ett av de största hoten mot webbplatsoperatörer. Också och särskilt för webbansvariga, som huvudsakligen är WordPress Arbete.

Och eftersom åtminstone sedan dess WooCommerce särskilt större och mer komplexa butiker utan problem med WordPress kan användas är det viktigt att förstå attrisknivån för WordPress SQL Injection och hur de fungerar.

Hur "farliga" är WordPress SQL-injektioner?

Frågan om "farligheten" hos en WordPress hack kan inte besvaras i form av en enda indikator. Tvärtom måste man ta hänsyn till minst två aspekter: å ena sidan sannolikheten med vilken ens egen WordPress - WordPress projekt kan falla offer för en sådan attack, liksom den skada som ett hack kan orsaka.

Brute Force Attacker, till exempel, antalet attacker som utförs varje månad är så högt (ibland över 1 miljard uppmätta attacker + orapporterat antal) att man faktiskt kan säga att varje WordPress - WordPress projekt förr eller senare kommer att bli föremål för en sådan attack. Skadan som kan göras av ett framgångsrikt hack är mångfaldigt. Mestadels tjäna Brute Force Attackerar också för att kapa webbplatser och integrera dem i ett botnet. Skript över flera webbplatser är å andra sidan mycket ovanligare, men används främst för att infektera webbsidor med skadlig kod.

OWASP (Open Web Application Security Project), en ideell organisation, publicerar regelbundet en topp 10-lista över de största säkerhetsriskerna för webbprogram. Och SQL-injektioner upptar konsekvent första plats här, även på (om än provisorisk) listan för 2017.

En bild av de 10 bästa säkerhetsriskerna för webbapplikationer som regelbundet släpps av den ideella organisationen OWASP kan ses. SQL-injektioner rangordnas först.
Den ideella organisationen OWASP publicerar regelbundet en topp 10-lista över de största säkerhetsriskerna för webbapplikationer. SQL injektioner upptar regelbundet topplaceringen här.

Faktum är att SQL-injektioner har kommit för att stanna. Hacket har varit känt i över 15 år. Och enligt Akamai State of the Internet Security Report för 2017 har frekvensen av SQL-attacker ökat med 28 procent sedan första kvartalet 2016. Under första kvartalet 2017 var SQL-injektioner de vanligaste hackarna, med 44 procent av attackerna. 

Här är en illustration av att SQL-injektion är det vanligaste hacket, med 44% av attackerna under första kvartalet 2017.
Under första kvartalet 2017 var SQL-injektion det vanligaste hacket, med 44% av attackerna, enligt Akamai State of the Internet Security Report 2017.

Wordfence ,Tillverkare av en säkerhetsprogramvara för WordPress drar slutsatsen att SQL-injektioner är särskilt utformade för WordPress användare utgör en stor fara. A Analys av nästan 1 600 säkerhetsproblem i Plugins under en 14-månadersperiod tydligt visar att SQL-injektioner är den näst vanligaste säkerhetsrisken någonsin för WordPress sidor är.

Diagrammet visar tydligt att SQL Injections är den näst vanligaste säkerhetsrisken någonsin för WordPress sidor är.
Diagrammet visar att SQL Injections är den näst vanligaste säkerhetsrisken någonsin för WordPress sidor är.

Med alla dessa siffror måste du naturligtvis inse att det mörka antalet är mycket högre - ofta SQL-attacker är nifly märkta och visas sedan inte i någon statistik.

Siffrorna visar att WordPress SQL-injektioner av Brute Force Attacker och XSS-luckor är bland de vanligaste typerna av attacker. Dessutom riktar SQL-injektioner in sig på ett särskilt känsligt område på din sida: din databas. Särskilt för butiksoperatörer är dessa hack därför ett existentiellt hot.  Därför är det viktigt att förstå hur de fungerar och vad du kan göra åt dem.

WordPress SQL-injektioner riktar in sig på hjärtat på din sida: Databasen

För att förstå hur SQL-injektion fungerar måste du förstå hur WordPress är i grunden strukturerad. Om du redan vet detta kan du säkert hoppa över det här avsnittet.

Databasen ligger till grund för varje WordPress -Installation: Allt innehåll lagras här. CMS själv gör det sedan möjligt att visa och redigera det här innehållet.På WordPress är en MySQL-databas. SQL står för Structured Query Language, ett fullfårat programmeringsspråk som kan användas för att skapa strukturer i en databas och infoga, ändra och ta bort data.

Varje gång du skriver en artikel, skapar en ny kategori, ändrar ditt lösenord eller till och med när användarna skriver en kommentar lagras dessa nya data i databasen. Så här ligger varje innehåll på din webbplats.

WordPress hämtar alltid lämpliga data från databasen när en användare visar din sida och begär visst innehåll, sammanfogar den med PHP och skapar ett HTML-dokument som så småningom överförs till användarens webbläsare. Användaren får ingen information om alla händelser som äger rum fram till den punkten.

SQL-injektioner injicerar extern kod i databasen

Även om du aldrig använder databasen direkt, utan bara med WordPress -Backend agierst: Databasen är hjärtat på din webbplats.

Men som sagt, användare kan också ange data i databasen. Skriv en kommentar, skapa ett användarkonto, fyll i och skicka ett kontaktformulär – alla dessa åtgärder genererar data som lagras i databasen.

Men vad händer om någon använder den här indirekta åtkomsten till din databas för att smuggla skadlig kod till databasen? Sedan pratar vi om SQL injektion.

Idén bakom detta är inte ens särskilt komplicerad: om det inte finns några säkerhetsåtgärder behöver hackaren bara ange SQL-kod i ett formulärfält (e.B. när man skriver en kommentar). Den innehåller till exempel tecken som har en speciell funktion för SQL-tolken , som ansvarar för att köra SQL-kommandon i databasen. Sådana specialtecken, som kallas metatecken, är till exempel; " ' och .

CMS anser att detta är ofarliga data och skickar indata som vanligt till databasen med ordern att spara den. SQL-tolken känner igen koden av metatecken som ett jobb och kör databaskommandot.

Förresten gäller SQL-injektioner precis som de gjorde Brute Force -Attacker: Nästan aldrig sitter en hackare ensam på datorn och anger manuellt koder i formulär. Dessa attacker körs också genom automatiserade botnät, som samtidigt skannar tusentals webbplatser efter sårbarheter och slår till där de upptäcker en.

Vad kan hända nu?

  • Hackaren kringgår alla autentiseringsmekanismer eller gömmer sig bakom en befintlig användares identitet för att få åtkomst. Om en hackare till exempel skapar ett nytt administratörskonto kallas det också för en Priviledge Escalation Exploit.
  • På detta sätt kan den spionera, ändra eller ta bort data. Detta är särskilt viktigt om du driver en onlinebutik och har dina kunders betalningsuppgifter.
  • Det kan ta kontroll över hela din webbplats och webbutrymme, till exempel genom att logga in som administratör och därmed få tillgång till din backend. Så en hackare har full kontroll över din webbplats och kan använda den som en spam slangbella, ta skadlig kod eller sätta in den i ett botnet.

Slutsats: Just på grund av automatisering, WordPress SQL Injektioner mycket farliga

WordPress SQL-injektioner är bland de farligaste hackarna någonsin. De är lätta att utföra, mestadels automatiserade, och kan orsaka massiva skador: särskilt för butiksoperatörer är faran från SQL-injektioner existentiell.

Därför är det viktigt att skydda din webbplats i enlighet därmed: användarinmatning måste kontrolleras och rengöras. Du bör också maskera data för att förhindra att skadlig kod körs. Den här processen kallas datadesering och validering och används till exempel i WordPress Codex beskrivs i detalj. I en av följande artiklar går vi dock in mer i detalj på ämnet och visar hur du förhindrar att skadlig kod blir aktiv i databasen.

Omfattande säkerhet Plugins Nästa: I synnerhet kan de blockera automatiserade attacker på dina webbplatser, vilket är grunden för många hack.

Som systemadministratör övervakar Tobias vår infrastruktur och hittar varje justeringsskruv för att optimera prestandan hos våra servrar. På grund av sina outtröttliga ansträngningar är han ofta också Slack som ska hittas.

Liknande artiklar

Kommentarer om den här artikeln

Skriva en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *.