Теоретическая SQL-уязвимость

java, jsp, sql, sql injection, кулхацкеры

0

1

Итак, данные из формы прямиком заносятся в базу данных. Это плохо, да?
Сделал так:
Форма:

<form method="POST" action="<%= request.getContextPath() %>/comment" accept-charset="UTF-8">
<legend>Оставить комментарий</legend>
<input type="hidden" id="id" name="id" value="${id}">
<input type="text" id="name" name="name" class="span4" placeholder="Псевдоним" />
<textarea id="comment" name="comment" class="span4" rows="3" placeholder="Комментарий"></textarea>
<button type="submit" name="submit" class="btn">Отправить</button>
</form>

Обработчик:

            int id = Integer.parseInt(request.getParameter("id")); // там может быть только int, инфа 100%
            String postName = request.getParameter("name");
            String postComm = request.getParameter("comment");
            String postAddr = request.getRemoteAddr();

            /* ... */

            String sql = "INSERT\n"
                        + "INTO `comments`\n"
                        + "(`id`, `name`, `ip`, `text`) VALUES\n"
                        + "(" + id + ",\n"
                        + "'" + postName + "',\n"
                        + "INET_ATON('" + postAddr + "'),\n"
                        + "'" + postComm + "');";

            /* ... */

            connectToDatabase().executeUpdate(sql);

Если хитрый пользователь (кулхацкер) будет писать свои специальным образом сформированные запросы в формочку или в «/comment», может ли он дропнуть мне базу или ещё что-то нехорошее сделать?

Ссылка

←	Что жа ШГ под FF?

OpenID авторизация на PHP

→

Это не теоретическая уязвимость а клиническая.

man java.sql.PreparedStatement

Deleted
(29.01.13 23:40:05 MSK)

Ссылка

http://xkcd.com/327/

none'); DROP TABLE `comments`; --

будет достаточно в качестве комментария. ☺

beastie ★★★★★
(29.01.13 23:40:43 MSK)
Последнее исправление: beastie 29.01.13 23:43:34 MSK (всего исправлений: 2)

Ответ на: комментарий от beastie 29.01.13 23:40:43 MSK

Если, например, заменять эти три символа

на что-нибудь другое (кстати, на что их можно заменить?), то уязвимость пропадёт? Больше никаких лазеек нет?

CYB3R ★★★★★
(29.01.13 23:50:52 MSK) автор топика

Ответ на: комментарий от CYB3R 29.01.13 23:50:52 MSK

Лазеек на самом деле вагон и маленькая тележка. Лучше не изобретать велосипед (криво), а использовать уже готовое и проверенное → #.

beastie ★★★★★
(29.01.13 23:53:49 MSK)

Ссылка

Ответ на: комментарий от CYB3R 29.01.13 23:50:52 MSK

тише, если твоей потенциальный работодатель узнает про это то тебя еще лет на 10 отправят в школу, а выше я тебе указал на решение

кроме того у тебя id возвращается с вебстраницы - это хреново

и если ты напрямую выдаешь коменты (а учитывая твои познания это так и есть) то у тебя там еще XSS

Deleted
(29.01.13 23:55:18 MSK)

Ответ на: комментарий от CYB3R 29.01.13 23:50:52 MSK

слушай белку, велосипедист

~~vostrik~~ ★★★☆
(29.01.13 23:55:44 MSK)

Ссылка

Ответ на: комментарий от Deleted 29.01.13 23:55:18 MSK

и если ты напрямую выдаешь коменты

Не угадал :)

кроме того у тебя id возвращается с вебстраницы - это хреново

Сначала я парсил URL-реферрер, но я решил, что это жуткий костыль, потому я решил сделать скрытое поле в форме. Что в этом хренового?

CYB3R ★★★★★
(30.01.13 00:03:57 MSK) автор топика

Ответ на: комментарий от CYB3R 30.01.13 00:03:57 MSK

судя по запрсоу у тебя это id комента, можно вставить -1

судя по твоему сайтику это id анекты - тогда пофигу да

Deleted
(30.01.13 00:12:12 MSK)

Ответ на: комментарий от CYB3R 30.01.13 00:03:57 MSK

Так это id сообщения на который отвечаешь?

anonymous
(30.01.13 00:12:28 MSK)

Ответ на: комментарий от Deleted 30.01.13 00:12:12 MSK

судя по запрсоу у тебя это id комента

У комментариев нет собственных id, есть только точное время занесения в БД (подставляется автоматически). Это серьёзный архитектурный просчёт?

можно вставить -1

Что? Как? Не распарсил эту часть.

судя по твоему сайтику это id анекты

Страница, куда выводятся комментарии, получает их так: «WHERE (`id` = id)»

CYB3R ★★★★★
(30.01.13 00:24:40 MSK) автор топика

Ответ на: комментарий от CYB3R 30.01.13 00:24:40 MSK

Это серьёзный архитектурный просчёт?

два комента с одним временем (скорее всего от разных клиентов) и только, счетчик с автоинкрементом, причем именно встреонный в субд или uuid

Deleted
(30.01.13 00:29:54 MSK)

Ссылка

Ответ на: комментарий от CYB3R 30.01.13 00:24:40 MSK

да, лучше иметь идентификатор

trashymichael ★★★
(30.01.13 00:30:22 MSK)

Ссылка

Ответ на: комментарий от CYB3R 30.01.13 00:24:40 MSK

алсо плюсую белку, раз уж не маппинг то хоть запросы подготавливай, родина тебе все дала, ну ты понял

trashymichael ★★★
(30.01.13 00:31:16 MSK)

Ссылка

Ответ на: комментарий от anonymous 30.01.13 00:12:28 MSK

Ну, раз Выфер у меня на сайтике уже развлекается, то пущу всех желающих. Отписывайте от найденных :)

CYB3R ★★★★★
(30.01.13 00:34:43 MSK) автор топика

            String sql = «INSERT\n»
                        + «INTO `comments`\n»
                        + "(`id`, `name`, `ip`, `text`) VALUES\n"
                        + "(" + id + ",\n"
                        + «'» + postName + «',\n»
                        + «INET_ATON('» + postAddr + «'),\n»
                        + «'» + postComm + «');»;

Это ты сам себе яму роешь. Используй PrepareStatement с его setInt()/setString()/etc. Методы «вставляют» значения вместо '?' в строке.

f1xmAn ★★★★★
(30.01.13 00:43:39 MSK)

Ссылка

Ответ на: комментарий от CYB3R 30.01.13 00:34:43 MSK

penetration testing нашару? не, не интересно. OWASP Java Project в зубы, тогда это хотя бы интересно будет

~~vostrik~~ ★★★☆
(30.01.13 00:51:25 MSK)

Ссылка

Ответ на: комментарий от CYB3R 30.01.13 00:34:43 MSK

меня там нет

Deleted
(30.01.13 00:52:10 MSK)

Ответ на: комментарий от Deleted 30.01.13 00:52:10 MSK

Вывод сделал из-за этого

судя по твоему сайтику...

Но кто-то там резвится. Надо бы забрутить его SSH :)

CYB3R ★★★★★
(30.01.13 00:56:49 MSK) автор топика

Ответ на: комментарий от CYB3R 30.01.13 00:56:49 MSK

ну сайтик то найти несложно.

ps. ну да капчу и вывод болше десятка каментов мы не умеем (про prepared stattement даже не слышали), а вот в веб приложение брутилку ssh вкорячим 8)

сорцы то поделки на гитхабе обнови а то я давно анекдотов не читал

Deleted
(30.01.13 00:59:03 MSK)

Ответ на: комментарий от Deleted 30.01.13 00:59:03 MSK

Капча не нужна, в запросе сообщений из БД стоит «LIMIT 10» на всякий случай. Про prepared statement слышал, но до сих пор не понял, в чём же это лучше простых запросов. Сорцы обновлю.

CYB3R ★★★★★
(30.01.13 01:38:24 MSK) автор топика

Ответ на: комментарий от CYB3R 30.01.13 01:38:24 MSK

Про prepared statement слышал, но до сих пор не понял, в чём же это лучше простых запросов.

Хм, тогда все тлен.

Deleted
(30.01.13 01:41:24 MSK)

Ссылка

Ответ на: комментарий от CYB3R 29.01.13 23:50:52 MSK

Заменять достаточно ' на два знака '

~~Legioner~~ ★★★★★
(30.01.13 02:16:47 MSK)
Последнее исправление: Legioner 30.01.13 02:17:05 MSK (всего исправлений: 1)

Ссылка

вроде бы уже и на джаву перешли, а быдлокодить не перестали...

~~AGUtilities~~ ★★★
(30.01.13 09:20:44 MSK)

Ну PreparedStatement's же с placeholder'ами!

kovrik ★★★★★
(30.01.13 09:40:11 MSK)

Ссылка

странно, что никто не сказал про PreparedStatement!

aol ★★★★★
(30.01.13 09:47:32 MSK)

Ответ на: комментарий от aol 30.01.13 09:47:32 MSK

PreparedStatement ухудшает производительность в некоторых случаях.

~~Legioner~~ ★★★★★
(30.01.13 09:51:01 MSK)

Ну ты сам-то как думаешь?

anonymous
(30.01.13 10:27:11 MSK)

Ссылка

Ответ на: комментарий от Legioner 30.01.13 09:51:01 MSK

в некоторых случаях

можно с примерами?

aol ★★★★★
(30.01.13 10:36:51 MSK)

Ответ на: комментарий от aol 30.01.13 10:36:51 MSK

Oracle 9, есть индекс users.name

select * from users where name like ?

Оптимизатор использует full scan.

select * from users where name like 'aol%'

Оптимизатор использует индекс.

На других базах не проверял, но по логике так же, т.к. оптимизатор не знает значения параметра в момент анализа и не знает, что там будет, 'aol%', который находится индексом или '%aol', который индексом не находится.

~~Legioner~~ ★★★★★
(30.01.13 10:42:12 MSK)

прочитал тред... ну вы даете, про PreparedStatement никто не знает что ли?

Rastafarra ★★★★
(30.01.13 11:54:55 MSK)

Ссылка

А про PreparedStatement все забыли, почему никто не написал?

anonymous
(30.01.13 13:13:12 MSK)

Ссылка

Ответ на: комментарий от AGUtilities 30.01.13 09:20:44 MSK

вроде бы уже и на джаву перешли, а быдлокодить не перестали...

масэкуэль-с

GateKeeper ★★
(30.01.13 16:42:51 MSK)

Ссылка

Ответ на: комментарий от Legioner 30.01.13 10:42:12 MSK

На других базах не проверял, но по логике

оптимизатору бы для каждого поданного параметра смотреть, а не для однажды сгенеренного PS. Хотя зависит, конечно. Тем более оптимизатору никто не запрещает быть двухэтапным.

GateKeeper ★★
(30.01.13 16:45:44 MSK)

Ссылка

Ответ на: комментарий от Legioner 30.01.13 10:42:12 MSK

Oracle 9

2001 год

Deleted
(30.01.13 22:32:41 MSK)

Ссылка

Ответ на: комментарий от Legioner 30.01.13 10:42:12 MSK

select * from users where name like ?
Оптимизатор использует full scan
select * from users where name like 'aol%'
Оптимизатор использует индекс.

users такая большая, что не вмещается в память и full table/index scan создаёт существенную нагрузку на I/O, и такие запросы составляют значитемую долю из всех? Вряд ли, поэтому нет нужды заниматься преждевременной оптимизацией. А для поиска по телу сообщений (например) есть всяческие полнотекстовые поиски и другие механизмы.

Nastishka ★★★★★
(31.01.13 14:09:47 MSK)

кроме неупомянутого здесь PreparedStatement также рекомендую посмотреть на фреймворки, при помощи которых не приходится работать напрямую с jdbc-api, например ibatis.

maloi ★★★★★
(31.01.13 14:14:52 MSK)

Ответ на: комментарий от Nastishka 31.01.13 14:09:47 MSK

users такая большая, что не вмещается в память и full table/index scan создаёт существенную нагрузку на I/O, и такие запросы составляют значитемую долю из всех? Вряд ли, поэтому нет нужды заниматься преждевременной оптимизацией. А для поиска по телу сообщений (например) есть всяческие полнотекстовые поиски и другие механизмы.

В users пара десятков миллионов записей и она вся в памяти очевидно не висит, потому что в базе таких users несколько десятков. И full scan vs index это 30 минут vs 100 миллисекунд. Это я из реальной жизни привожу пример, если что, когда система уже давно написана и никакие полнотекстовые поиски в ней делать никто не даст.

Про преждевременную оптимизацию не спорю. Но случаи, когда разные значения дадут разный план есть и учитывать это надо. Кстати, в ту же копилку случаи, когда есть очень много повторяющихся значений у поля и использование индекса будет неверным, а оптимальным будет full scan. Хотя тут, конечно, разница в производительности будет не слишком велика.

~~Legioner~~ ★★★★★
(31.01.13 15:25:45 MSK)

Ответ на: комментарий от Legioner 31.01.13 15:25:45 MSK

В users пара десятков миллионов записей и она вся в памяти очевидно не висит, потому что в базе таких users несколько десятков

Если шаблоны в подавляющем большинстве имеют форму «нечто%», то задача частично решается достаточно легко. Если нет - то вы попали, и без FTS не уйдёте :-)

Nastishka ★★★★★
(31.01.13 17:17:42 MSK)

Ссылка

Ответ на: комментарий от maloi 31.01.13 14:14:52 MSK

Загуглил этот ибатис, на их сайте написано:

Apache iBATIS is retired at the apache software foundation (2010/06/16)
The original project team has moved to MyBatis hosted at Google Code. See http://www.mybatis.org/ for more.
for more information, please view the announcement below and refer to the Attic.

CYB3R ★★★★★
(31.01.13 19:58:44 MSK) автор топика

Ответ на: комментарий от CYB3R 31.01.13 19:58:44 MSK

ну я уж не помню, как там называется он - все время путаю :)

maloi ★★★★★
(31.01.13 21:22:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Что жа ШГ под FF?

Web-development

OpenID авторизация на PHP

→

Похожие темы