SQL insertion en hacken enzo...

Ik las weer eens dat er een site was gekraakt d.m.v. SQL insertion en daarbij vraag ik me dan gelijk af welke sukkels dit soort sites dan hebben gemaakt.... simpel uitgelegd.. je vult als username bij een inlogformulier onderstaande in en je komt bij slechts alleen een controle of de user bestaat in elk CMS / website binnen.

blah' OR 1=1 --

De SQL statement wordt dan zoiets als hieronder....

SELECT id FROM users WHERE username = 'blah' OR 1=1 --' AND password='nogwat'

Het gedeelte achter de comments -- wordt al niet meer uitgevoerd dus de query geeft altijd resultaat terug.

Ok ok.. met ColdFusion heb je het geluk dat dit soort SQL insertion al niet voor kan komen simpelweg omdat elke apostrophe wordt vervangen door een dubbele, zodat je namen als 's-Hertogenbosch b.v. rustig kan invoeren in een zoekveld.. bij andere talen dien je de apostrophe te escapen zodat de database niet over zijn nek gaat... ik ga dit niet verder uitleggen.

Maar dan verbaast het mij nog.. ook al kan bovenstaande exploit uitgevoerd worden, dan nog zou er een controle moeten plaatsen vinden (lijkt mij) dat een ingevoerde username/password combinatie wel daadwerkelijk overeenkomt met de waardes uit de database... hmmm nu ik hem zo lees moet ik deze even uitleggen.. . SQL server, ja..die van MS die is niet! case-sensitive wat zoveel wil zeggen dat kleine en grote letters geen bal uitmaken bij het invoeren. 

Ik persoonlijk wil wel altijd een case-sensitive vergelijking hebben ongeacht welke database er achter mijn programma hangt.. vandaar dat ik bovenstaande opmerking maak dat je ten alle tijden als 2de check moet controleren of de opgegeven username wel overeenkomt met de username uit de database.. het beheer van deze website werkt ook op die manier en je bent een knappe jongen/meisje als je daar binnen komt.... (dit is gevaarlijk om te zeggen ;-)) zoek zelf maar uit waar het beheer nu zit muuuuhhhhaaaaaaa!!!

Kortom.. vele systemen liggen wagenwijd open omdat men niet nadenkt over dit soort dingen.. en dat is best treurig als je weet hoeveel men moet betalen voor zo'n site / cms applicatie.

jajajaja.... nerd talk.. ik weet het.. laat me toch.. niet iedereen kan interessante stukjes schrijven waar iedereen zich mee kan identificeren

2194 keer bekeken. | Tjarko @ 16:53 cet

REACTIES:

Pomme -(site)
Vind t wel interessant, doe mn best t te snappen. Helaas kan niet iedereen zo slim zijn als jij..

18 augustus 2005 23:14 cet  

jax -
ja, waar zat dat beheergedeelte ook weer hier...;-)

19 augustus 2005 8:21 cet  

GdeB -(site)(e-mail)
mmh interessant T. Zal eens in 1 van onze cms'jes en/of sql dingetjes gluren.
Tx

19 augustus 2005 9:00 cet  

echnat0n -(e-mail)
Stel ik heb een website. www.website.com wat gebruikt maakt van sql data.
Hoe kan ik dan als buitenstaander te weten komen hoe de tabellen noemen, een gebruikersnaam, en hoe kan ik iets uitvoeren?
Is dit mogelijk zonder het systeem te kennen?

21 januari 2006 22:18 cet  

Tjarko -(site)(e-mail)
Als ik ook maar enig idee zou hebben waar je het over hebt dan zou ik misschien een antwoord kunnen geven.

22 januari 2006 12:59 cet  

Gratiz Producten! -(site)(e-mail)
Nice!

http://gratiz.startze.nl

09 april 2008 10:23 cet