Тамбовский государственный университет имени Г.Р. Державина Институт математики, физики и информатики Кафедра информатики и информационных технологий Иванова Татьяна Александровна Защита корпоративных серверов от атаки методом SQL-инъекций Дипломная работа Научный руководитель: к.ф.-м.н., доцент И.И.Иванов

Цель Защита корпоративных приложений на базе Microsoft SQL Server 2005 и MySQL от атак методом SQL- инъекций. Задачи построить общую схему методики проведения атаки методом SQL-инъекций; провести анализ уязвимостей серверов баз данных к атакам методом SQL-инъекций; рассмотреть существующие методы обнаружения атак с использованием SQL-инъекций и защиты от них; построить систему защиты от атак методом SQL- инъекций, реализованную в виде дополнительного модуля к корпоративному программному обеспечению. Слайд 1

Результат анализа уязвимостей корпоративных web-приложений Слайд 2

Этапы проведения SQL-инъекции 1. Изучение ответов сервера при вводе модифицированных параметров в поля ввода данных или адресную строку браузера. 2. Анализ результатов на основе выводимых данных или сообщений об ошибках. 3. Несанкционированный доступ к информации или деструктивные действия. Слайд 3

Основные типы атак методом SQL- инъекций 1. Внедрение в параметры SQL-запроса. select from where or 'x'='x' 2. Экранирование хвоста SQL- запроса. update set = -- where id= 3. Расщепление SQL-запроса. select from ; delete * from 4. Использование оператора UNION. select from where union select name from master.dbo.sysdatabases Слайд 4

Типы анализируемых СУБД - Microsoft Access - Microsoft SQL Server - MySQL - Oracle Database Слайд 5

Схема взаимодействия пользователей и сервера БД Слайд 6

Методы обнаружения нападений Слайд 7 Поиск определенных метасимволов и команд SQL: Для web-приложений: использование регулярных выражений. Для внутрикорпоративных приложений: использование функции поиска последовательности символов в строке.

Методы защиты от атак Слайд 8 1. Фильтрация любых данных, поступающих со стороны клиента. 2. Установка соединения с базой данных от имени пользователя с максимально ограниченными правами. 4. Исключение возможности просмотра сведений о базе данных и ее структуре. 5. Исключение вывода сообщений об ошибках. 6. Отключение дополнительных возможностей серверов, не использующихся в работе. 7. Использование хранимых процедур. 8. Протоколирование подозрительных действий.

Стандартные роли баз данных MS SQL Server Слайд 9

Отключение функций OPENROWSET и OPENDATASOURCE Слайд 10

Отключение расширенной хранимой процедуры xp_cmdshell Слайд 11

Программный продукт Слайд 12

Заключение Проведенный анализ уязвимостей наиболее распространенных на сегодняшний день серверов баз данных к атакам методом SQL-инъекций показывает, что во всех них присутствует достаточно особенностей реализации языка SQL, которые при неправильной организации защиты (или полной ее отсутствии) корпоративных приложений дают злоумышленнику реальную возможность совершения данной атаки. После рассмотрения основных методов обнаружения нападений и защиты от них, даны рекомендации по соответствующей настройке серверов Microsoft SQL Server 2005 и MySQL 5. А также реализован комплекс мер, позволяющий организовать надежную защиту корпоративных приложений как внутри локальной сети организации, так и в сети Интернет. Проведенный анализ возможности совершения злоумышленником типовых атак методом SQL-инъекции до и после реализации мер защиты, описанных в главе 2, показывает, что принятые меры исключают возможность проведения данного типа атаки, не оказывая при этом влияния на работу пользователей. Слайд 13

Окно авторизации пользователя Слайд 14

Окно поиска информации Слайд 15

Окно модификации данных Слайд 16

Слайд 14 Спасибо за внимание