كود التدقيق هي استخدام أساليب التحليل شفرة المصدر ساكنة وجدت ثغرات أمنية، يمكن أن تساعد المطورين أو اختبار فهم أشمل للقضايا أمنية في برمجياتها قبل الخط واتخاذ تدابير وقائية، ولذا فقد كان دائما الأكاديمية والبحوث الصناعية النقاط الساخنة، وأصبحت وسيلة هامة لتأمين دورة حياة تطوير DevSecOps SDL ونظم الدعم الأخرى.  

360 فريق الحرس القانون بناء على أبحاث وتطوير أول أداة التجارية في البلاد لاختبار الأمن شفرة المصدر، والبحوث والتكنولوجيا المتراكمة أكثر من عشر سنوات الضعف مستقل، أطلق "أسبوع كلام عيب" سلسلة من الأعمدة. يوصف أسبوعيا لمدة CWE، OWASP وغيرها من المعايير في فئة من العيوب، مع أمثلة وأدوات بالتفصيل، بالنسبة للغالبية من المطورين ورجال الأمن لتوفير موحدة التدقيق كود البرنامج التعليمي الأساسية.

على حل فارغة للأن يفهم الجميع أن مؤشر تطبيق [بوابة]، لا تزال هذه القضية لتحقيق SQL حقن المقدمة.

A، حقن SQL

ما يسمى حقن SQL، يتم إدراجها في طلب HTTP بواسطة الأمر SQL التطبيق، وتلقي جانب الخادم لعمليات قاعدة المشاركة، وتحقيق نهاية المطاف الخادم الخداع لتنفيذ أوامر SQL الخبيثة. من الناحية النظرية، طالما أن التطبيق وقاعدة البيانات التفاعل البيانات، سواء كان ذلك CRUD، إذا سيطر على البيانات بشكل كامل من قبل المستخدم وتطبيق ولم يتم التعامل معها بشكل صحيح، ثم هذه الأماكن الممكن حقن SQL. يقرب من جميع اللغات التنمية مثل: JAVA، PHP، بيثون، ASP وهكذا يمكن استخدام قاعدة البيانات SQL لتخزين البيانات، والتعامل مع غير لائق قد يؤدي إلى مشاكل حقن SQL. هذه المقالة مع شفرة المصدر لغة JAVA، على سبيل المثال، وتحليل أسبابها وطرق لحقن الإصلاح SQL المنتجة. حقن SQL لمزيد من التفاصيل انظر CWE-89: تحييد غير صحيح من عناصر الخاص استخدامها في قيادة SQL ( 'SQL حقن') (

اثنين، حقن SQL الخطر

ويمكن للمهاجم ضار الاستفادة من نقاط الضعف حقن SQL بالإضافة إلى الوصول إلى المعلومات في قاعدة البيانات (على سبيل المثال، كلمة مرور خلفية المسؤول، والمعلومات الشخصية للموقع)، طروادة يمكن حتى كتابة كلمة إلى الخادم في وضع ما يكفي من امتيازات قاعدة بيانات، وبالتالي أو الحصول على الخادم webshell الحصول على المزيد من الامتيازات النظام.

من يناير 2017 إلى سبتمبر 2018، مجموعه CVE من 793 مواطن الضعف المرتبطة المعلومات. CVE جزء على النحو التالي:

 حقن الضعف SQL زوهو ManageEngineApplications مدير 13.x في CVE-2018-13050، قد يتم حقنه من خلال عبارة SQL j_username المعلمة / j_security_check طلب POST. ويمكن حقن CVE-2017-16542 زوهو ManageEngineApplications مدير 13 إجراء SQL من خلال طلب اسم المعلمة manageApplications.do؟method=insert. CVE-2017-16849 زوهو ManageEngine تطبيقات مدير 13 يسمح المعلمات حقن SQL التي كتبها forpage في /MyPage.do؟method=viewDashBoard. CVE-2017-5570 وجدت MessageJson.jsp الستائر الحالية eClinicalWorks المريض البوابة 7.0 بناء 13، ولكن يمكن مصادقة فقط من قبل المستخدم ينتقل باستخدام طلب HTTP POST. ومهاجم ضار يمكن تفريغ البيانات إلى ملقم قاعدة البيانات باستخدام أسلوب مثل select_loadfile الخبيثة () أو ما شابه ذلك من الضعف. ثالثا، نموذج التعليمات البرمجية

3.1 كود عربات التي تجرها الدواب

هذا القسم استخدام نموذج التعليمات البرمجية من Samate جولييت اختبار جناح لجاوا v1.3 لل(https://samate.nist.gov/SARD/testsuite.php)، اسم الملف المصدر: CWE89_SQL_Injection__connect_tcp_execute_01.java.

في قد تكون ملوثة رمز بيانات خط انظر 54، ينتقل إلى البيانات في خط البيانات سوف تكون ملوثة 58، ودون أي ورقة مالية معالجة SQL تقسم مباشرة إلى خط 115، ومشاركة عمليات قاعدة البيانات، مما أدى إلى يتم إنشاء حقن SQL.

كود حراس 360 بالكشف عن رمز المثال أعلاه، يمكن الكشف عن "حقن SQL" ملف خط عيب 115، ومستوى العرض عال، مع توفير مسار واضح يمكن تتبع خلال تحليل العيوب. 1، كما هو موضح في الشكل رقم 2:

FIG 1 SQL مصدر حقن العيوب نقطة رصدت

FIG 2 SQL حقن بالوعة كشف نقطة عيب

3.2 الإصلاح رمز

في رمز خط إصلاح 305، استخدم قبل المترجم عند تنفيذ SQL باستخدام المعلمات من تصريح لإدخال المستخدم يقتصر على المعلمة التي. يمكن أن يرى في الشكل (3)، لم يتم الكشف عن الحراس كود 360 التعليمات البرمجية بعد إصلاح.

FIG 3 SQL إصلاح حقن سبيل المثال

4، وكيفية تجنب حقن SQL

طريقة إصلاح المشترك:

1. المترجمة مسبقا معلمات الإدخال العملية: لحقن SQL الدفاع، إدخال المستخدم لا يمكن أن تتداخل في تصريحات SQL التي مباشرة. معالم تصريح لإدخال المستخدم يقتصر على المعلمة التي. على النحو التالي:

2. أدخل التحقق من الصحة: التحقق من شرعية إدخال المستخدم للتأكد من أن محتويات إدخال البيانات أمر طبيعي. يجب أن البيانات تنفيذ اختبارات على جانب العميل والخادم الجانب، والسبب في تنفيذ التحقق من جانب الخادم، والتحقق لأن العميل في كثير من الأحيان فقط تخفيف الضغط على الخادم وتحسين سهولة الاستخدام، المهاجم هو التقاط الممكن تماما من قبل المعلمات تعديل أو بعد الحصول على الشفرة المصدرية للصفحة، تعديل البرنامج النصي للتحقق من شرعية (أو مباشرة حذف النصي)، ثم محتوى غير قانوني عن طريق تقديم النموذج إلى الخادم وهلم جرا وسيلة للتحايل على الاختيار العميل تعديل ل. لذلك، لضمان عملية التحقق، قد تم تنفيذه، والطريقة الوحيدة هي ليتم تنفيذها على التحقق من صحة جانب الملقم. ومع ذلك، يمكن لهذه الأساليب تحدث بسهولة بسبب التراخي أدى إلى تصفية مهاجم ضار يمكن تجاوز هذه المرشحات ظاهرة تتطلب الحذر.

3. خطأ معالجة رسائل: منع حقن SQL، ولكن أيضا لتجنب بعض من رسالة الخطأ مفصلة، الهجمات الخبيثة التي غالبا ما تستخدم هذه المعلومات لتحديد خطأ تقسم أشكال وSQL الخلفية، وحتى الاستخدام المباشر لهذه الحقن الخطأ البيانات في قاعدة البيانات يتم عرض رسالة الخطأ.

4. عملية التشفير: اسم تسجيل دخول المستخدم، كلمة المرور وغيرها من البيانات المخزنة المشفرة. البيانات المشفرة دخلت من قبل المستخدم، ومن ثم مقارنتها مع البيانات المخزنة في قاعدة البيانات، وهو ما يعادل البيانات المدخلة من قبل المستخدم في عملية "التعقيم"، والبيانات المدخلة من قبل المستخدم لم يعد له أي أهمية خاصة لقاعدة البيانات، لذلك منع المهاجم حقن أوامر SQL.

* الكاتب: كود 360 الحراس، يرجى تحديد مستنسخة من FreeBuf.COM