Андрей Лисниченко "SQL Injection"

1. www.luxoft.com
SQL injection
Andriy Lisnichenko
28 April 2016

2. www.luxoft.com
SQL injection - что это?
 SQL - (англ. structured query language — «язык
структурированных запросов») — формальный непроцедурный
язык программирования, применяемый для создания,
модификации и управления данными в произвольной
реляционной базе данных
 Injection - Injection flaws, particularly SQL injection, are common in
Java EE applications. Injection occurs when user-supplied data is
sent to an interpreter as part of a command or query. The attacker’s
hostile data tricks the interpreter into executing unintended
commands or changing data.

3. www.luxoft.com
О чем не будем сегодня говорить
 Опускаем обсуждение паттернов взлома программ.
 Не говорим о способах вычисления структуры БД.
 Валидацию входных параметров.
 Демонстрация SQL аттак.

4. www.luxoft.com
О чем же доклад
 Как сделать продукт качественным и безопасным.
 Какие существуют для этого инструменты.
 Немного личного опыта.

5. www.luxoft.com
Инструменты
https://www.owasp.org/index.php/Category:OWASP_Tool

6. www.luxoft.com
OWASP
Open Web Application Security Project
https://www.owasp.org/index.php/Main_Page

7. www.luxoft.com
Статистика 2004 vs 2007

8. www.luxoft.com
Статистика 2013

9. www.luxoft.com
Защитит ли нас от SQL
injection использование
различных ORM?

10. www.luxoft.com
Использование ORM
 Плохой стиль – не рекомендую.
List results = session.createQuery("from Orders as orders where orders.id = " +
currentOrder.getId()).list();
List results = session.createSQLQuery("Select * from Books where author = " +
book.getAuthor()).list();

11. www.luxoft.com
Использование ORM
 Рекомендую.
Query hqlQuery = session.createQuery("from Orders as orders where orders.id = ?");
List results = hqlQuery.setString(0, "123-ADB-567-QTWYTFDL").list();
Query hqlQuery = session.createQuery("from Employees as emp where emp.incentive
> :incentive");
List results = hqlQuery.setLong("incentive", new Long(10000)).list();
List items = new ArrayList(); items.add("book"); items.add("clock"); items.add("ink");
List results = session.createQuery("from Cart as cart where cart.item in
(:itemList)").setParameterList("itemList", items).list();

12. www.luxoft.com
Использование ORM
Query hqlQuery = session.createQuery("from Books as books
where book.name = :name and book.author = :author");
List results = hqlQuery.setProperties(javaBean).list();
Query sqlQuery = session.createSQLQuery("Select * from Books where author = ?");
List results = sqlQuery.setString(0, "Charles Dickens").list();

13. www.luxoft.com
Личный опыт
 Используйте сканер для проверки кода
 Разные сканеры дают «одинаковые» отчеты
 Хороший код = хороший отчет = качественный продукт
 Конкатенация строк в данном ракурсе - это зло

14. www.luxoft.com
Спасибо за внимание
Андрей Лисниченко
AALisnichenko@luxoft.com