SlideShare a Scribd company logo

Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław

K
Krzysztof Binkowski

SQL injection, SQL hacking jako przykład ataków na serwery SQL

Technology
1 of 35
Download to read offline
SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..
SQLDay 2016 Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy podstawowe i przykładowe ataki na SQL serwer Praktycznie zademonstrujemy podstawowe ataki typu SQL injection w celu zobrazowania możliwości SQLi – najbardziej popularnych ataków na serwery SQL. Zastanowimy się wspólnie czy dane są wykradane z serwerów czy może serwer SQL to magazyn do przechowania pozyskanych/wykorzystanych danych?
SQLDay 2016 Agenda Wstęp Trochę teorii … • Statystyki i najbardziej popularne wektory ataków • Motywacja – główne cele atakujących • SQL injection i Blind SQL • Jak się bronić przed SQL injection Trochę praktyki … • DEMO – prezentujemy SQLi – dostęp do bazy danych • DEMO – prezentujemy SQLi – dostęp do OS systemu hosta i zdalne wykonanie poleceń Podsumowanie
SQLDay 2016 Zamiast wstępu – Wyciek danych ….. to już prawie codzienność …
SQLDay 2016 Trochę statystyk – TOP 10 Attacks Techniques 2015 vs 2014 Źródło: www.hackmageddon.com
SQLDay 2016 Trochę statystyki - wektory ataków 03.2016 Źródło: www.hackmageddon.com
SQLDay 2016 2015 Web Application Attack Report (WAAR) https://www.imperva.com/docs/HII_Web_Application_Attack_Report_Ed6.pdf
SQLDay 2016 SQLi dziś http://codecurmudgeon.com/wp/sql-injection-hall-of-shame/
SQLDay 2016 Motywacja – główne cele atakujących Sprzedaż pozyskanych danych bazy danych/dane dostępowe na czarnym rynku przestępców (criminal black market) lub potencjalny szantaż Długoterminowy dostęp do sieci. Może obejmować kompromitację systemu operacyjnego serwera baz danych w celu otworzenia dostępu sieciowego dla dalszych ataków lub utrzymania posiadanego dostępu. Wystawnie „zrzutu” bazy na sprzedaż na czarnym rynku przestępców. Kradzież tożsamości jest najbardziej rozpowszechnionym atakiem SQL injection. Zwiększenie reputacji atakującego na „podziemnych” forach poprzez dzielnie się znaleziskami z innymi Utrata reputacji docelowej zaatakowanej organizacji Wykorzystanie witryny/systemu do dystrybucji i propagacji oprogramowania złośliwego (malware) Wykorzystanie szybkich i pojemnych serwerów jako magazynu na kradzione dane
SQLDay 2016 Przykładowe ryzyka towarzyszące SQL injection z punktu widzenia ‚biznesu’ Dokonanie modyfikacji lub wykasowanie wrażliwych danych Kradzież danych klientów takich jak: dane osobowe, numery kart kredytowych, inne Straty finansowe Utrata marki i reputacji Kradzież własności intelektualnej Odpowiedzialność prawna i związane z tym kary
SQLDay 2016 SQL Injection – SQLi - SQL injection to atak w którym złośliwy kod jest wprowadzony do niefiltrowanych danych wprowadzonych przez użytkownika w celu przesłania i wykonania w postaci komendy SQL serwera - SQL injection – to podstawowy atak wykorzystywany do uzyskania nieautoryzowanego dostępu do bazy danych lub pozyskania informacji bezpośrednio z bazy danych - SQLi – to również podatność webaplikacji lub webserewera a nie tylko bazy danych
SQLDay 2016 :) ?
SQLDay 2016 Przykładowa web-aplikacja / system Image source http://securityhorror.blogspot.com/2012/10/death-dos-ing.html
SQLDay 2016 SQLi – przykład działania Źródło: http://baesystemsai.blogspot.com/2016/01/testing-your-defences-against-sql-injection.html
SQLDay 2016 Wykorzystanie ataków SQL injection - Ominięcie uwierzytelnienia - czyli uwierzytelnienie w systemie bez wprowadzenia loginu i hasła i pozyskanie dostępu administracyjnego Ujawnienie informacji – pozyskanie danych wrażliwych przechowywanych w bazach danych Naruszenie integralności danych – atakujący może skompromitować stronę/aplikację oraz umieścić złośliwy kod lub podmienić zawartość bazy danych Naruszenie dostępności danych – atakujący może usunąć dane, logi lub inne dane z bazy danych Wykonanie zdalne kodu – atakujący może skompromitować system operacyjny serwera baz danych, poprzez wykonanie poleceń systemowych OS
SQLDay 2016 SQL injection – na wesoło ;)
SQLDay 2016 SQL injection – na wesoło ;)
SQLDay 2016 SQLi a kodeks karny ? • USTAWA z dnia 6 czerwca 1997 r. - Kodeks karny • Art. 267,268,269
SQLDay 2016 Przykładowy klasyczny kod aplikacji podatny na SQLi http://www.aspsnippets.com/Articles/SQL-Injection-Attack-its-examples-and-Prevention-mechanisms-and-Techniques-in-ASPNet.aspx
SQLDay 2016 Klasyczny przykład SQLi MSSQL http://www.sqlinjectionwiki.com/Categories/1/mssql-sql-injection-cheat-sheet/
SQLDay 2016 Klasyczny przykład SQL Injection MSSQL http://www.sqlinjectionwiki.com/Categories/1/mssql-sql-injection-cheat-sheet/
SQLDay 2016 • SQLi DEMO • Ominięcie mechanizmu uwierzytelnienia • Utworzenie własnego użytkownika w bazie danych • Utworzenie własnej bazy danych na atakowanym SQL serwerze • Kasowanie bazy danych - DROP DEMO Uwaga prezentowane treści służą tylko i wyłącznie do celów edukacyjnych i wykorzystanie tej techniki bez zgody właściciela systemu może stanowić naruszenie prawa !
SQLDay 2016 Klasyczny przykład SQL Injection http://www.sqlinjectionwiki.com/Categories/1/mssql-sql-injection-cheat-sheet/
SQLDay 2016 • SQLi demo – zdalne wykonanie kodu OS – Windows 2012 • Wykonanie polecenia ping przez SQLi • Dodajemy użytkownika w systemie Windows przez SQLi • Dodanie utworzonego użytkownika do grupy Administratorów  • A teraz idziemy … do serwera DEMO Uwaga prezentowane treści służą tylko i wyłącznie do celów edukacyjnych i wykorzystanie tej techniki bez zgody właściciela systemu może stanowić naruszenie prawa !
SQLDay 2016 BLIND SQL injection ; IF EXISTS(SELECT * FROM creditcard) WAITFOR DELAY ‚0:0:10’-- Jeśli baza „creditcard” istnieje TAK NIE Nie możemy przetworzyć Twojego żądania, spróbuj ponownie Nie możemy przetworzyć Twojego żądania, spróbuj ponownie Po 10 sek
SQLDay 2016 Narzędzia do SQLi – przykłady sqlmap, BSQL Hacker
SQLDay 2016 Narzędzia do SQLi – przykłady DroidSQLi – telefon komórkowy lub tablet http://www.prophethacker.com/
SQLDay 2016 Jak się bronić przed SQLi - ogólnie Źródło: Szkolenie CEH v9– EC-COUNCIL
SQLDay 2016 Jak się bronić przed SQLi - ogólnie 1. Comprehensive data sanitization. 2. Use a web application firewall. 3. Limit database privileges by context. 4. Avoid constructing SQL queries with user input. 5. Penetration Testing 6. Recomednations OWASP etc
SQLDay 2016 Warte uwagi … • Nie ufaj danym z zewnątrz (także z systemów zależnych czy plików) • Nie ufaj danym z bazy • Nie sklejaj SQL z danymi (PreparedStatement) • Ogranicz uprawnienia kont w serwerze bazy danych • Stosuj własne komunikaty o błędach • Szyfruj dane • Sprawdzaj regularnie podatności (np. za pomocą testów penetracyjnych) • Używaj widoków i procedur składowanych • Filtruj dane wejściowe • inne
SQLDay 2016 SQL serwer z perspektywy hakera Jeśli SQL serwer zawiera interesujące dane dla hakera • Kradzież i sprzedaż pozyskanych danych • Kompromitacja i utrata reputacji organizacji • Kradzież tożsamości użytkowników • Kasowanie danych Jeśli SQL serwer nie zawiera interesujących danych dla hakera • Wykorzystanie witryny/systemu do dystrybucji i propagacji oprogramowania złośliwego (malware) • Wykorzystanie szybkich i pojemnych serwerów jako magazynu na kradzione dane z innych serwerów
SQLDay 2016 Podsumowanie • Spojrzeliśmy na dane i serwery SQL z perspektywy cyberprzestępcy • Omówiliśmy podstawowe i przykładowe ataki na SQL serwer • Praktycznie zademonstrowaliśmy podstawowe ataki typu SQL injection w celu zobrazowania możliwości SQLi • Omówiliśmy ogólne zasady ochrony przed SQLi
SQLDay 2016 Dziękuję za uwagę http://netcomputer.pl
Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław

Recommended

Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?Krzysztof Kotowicz
 
Kompletny przewodnik po SQL injection dla developerów PHP (i nie tylko)
Kompletny przewodnik po SQL injection dla developerów PHP (i nie tylko)Kompletny przewodnik po SQL injection dla developerów PHP (i nie tylko)
Kompletny przewodnik po SQL injection dla developerów PHP (i nie tylko)Krzysztof Kotowicz
 
Owasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLOwasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLThink Secure
 
Owasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaOwasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaThink Secure
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP TrojmiastoZhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP Trojmiastosecman_pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 

Recommended

Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?Jak ocalić swoje dane przed SQL injection?
Jak ocalić swoje dane przed SQL injection?Krzysztof Kotowicz
 
Kompletny przewodnik po SQL injection dla developerów PHP (i nie tylko)
Kompletny przewodnik po SQL injection dla developerów PHP (i nie tylko)Kompletny przewodnik po SQL injection dla developerów PHP (i nie tylko)
Kompletny przewodnik po SQL injection dla developerów PHP (i nie tylko)Krzysztof Kotowicz
 
Owasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLOwasp Top10 2010 RC1 PL
Owasp Top10 2010 RC1 PLThink Secure
 
Owasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaOwasp top 10 2010 final PL Beta
Owasp top 10 2010 final PL BetaThink Secure
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 
Zhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP TrojmiastoZhakuj swojego Wordpressa, WordUP Trojmiasto
Zhakuj swojego Wordpressa, WordUP Trojmiastosecman_pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Devops security
Devops securityDevops security
Devops securityLogicaltrust pl
 
W E B Bezpieczeństwo
W E B BezpieczeństwoW E B Bezpieczeństwo
W E B BezpieczeństwoMichal Laskowski.edu.pl
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops securityLogicaltrust pl
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego PROIDEA
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...krakspot
 
"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać
"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać
"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbaćBartosz Ratajczyk
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech DworakowskiPROIDEA
 
Microsoft Business Intelligence w 2017 roku
Microsoft Business Intelligence w 2017 rokuMicrosoft Business Intelligence w 2017 roku
Microsoft Business Intelligence w 2017 rokuHighWheelSoftware
 
Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)Adam Ziaja
 
Microsoft SQL Server 2000. Księga eksperta
Microsoft SQL Server 2000. Księga ekspertaMicrosoft SQL Server 2000. Księga eksperta
Microsoft SQL Server 2000. Księga ekspertaWydawnictwo Helion
 
Podstawy ETL z SSIS
Podstawy ETL z SSISPodstawy ETL z SSIS
Podstawy ETL z SSISBartosz Ratajczyk
 
SQL. Od podstaw
SQL. Od podstawSQL. Od podstaw
SQL. Od podstawWydawnictwo Helion
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...SecuRing
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychstudenckifestiwalinformatyczny
 
Nowości w zakresie bezpieczeństwa w SQL Server 2016
Nowości w zakresie bezpieczeństwa w SQL Server 2016Nowości w zakresie bezpieczeństwa w SQL Server 2016
Nowości w zakresie bezpieczeństwa w SQL Server 2016Kamil Nowinski
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
Sql Dla Administratora i Dewelopera
Sql Dla Administratora i DeweloperaSql Dla Administratora i Dewelopera
Sql Dla Administratora i Deweloperanexik
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITRedge Technologies
 

More Related Content

What's hot

Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego PROIDEA
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 

What's hot (7)

Devops security
Devops securityDevops security
Devops security
 
W E B Bezpieczeństwo
W E B BezpieczeństwoW E B Bezpieczeństwo
W E B Bezpieczeństwo
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
 
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego [CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
[CONFidence 2016] Artur Kalinowski - Wyciek danych z pespektywy atakującego
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
 

Similar to Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław

“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...krakspot
 
"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać
"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać
"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbaćBartosz Ratajczyk
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech DworakowskiPROIDEA
 
Microsoft Business Intelligence w 2017 roku
Microsoft Business Intelligence w 2017 rokuMicrosoft Business Intelligence w 2017 roku
Microsoft Business Intelligence w 2017 rokuHighWheelSoftware
 
Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)Adam Ziaja
 
Microsoft SQL Server 2000. Księga eksperta
Microsoft SQL Server 2000. Księga ekspertaMicrosoft SQL Server 2000. Księga eksperta
Microsoft SQL Server 2000. Księga ekspertaWydawnictwo Helion
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...SecuRing
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychstudenckifestiwalinformatyczny
 
Nowości w zakresie bezpieczeństwa w SQL Server 2016
Nowości w zakresie bezpieczeństwa w SQL Server 2016Nowości w zakresie bezpieczeństwa w SQL Server 2016
Nowości w zakresie bezpieczeństwa w SQL Server 2016Kamil Nowinski
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
Sql Dla Administratora i Dewelopera
Sql Dla Administratora i DeweloperaSql Dla Administratora i Dewelopera
Sql Dla Administratora i Deweloperanexik
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITRedge Technologies
 
Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005Tomasz Cieplak
 
Wybrane podatności aplikacji webowych - Michał Sajdak
Wybrane podatności aplikacji webowych - Michał SajdakWybrane podatności aplikacji webowych - Michał Sajdak
Wybrane podatności aplikacji webowych - Michał SajdakBartłomiej Cymanowski
 
4Developers 2015: Wybrane podatności w aplikacjach webowych - Michał Sajdak
4Developers 2015: Wybrane podatności w aplikacjach webowych - Michał Sajdak4Developers 2015: Wybrane podatności w aplikacjach webowych - Michał Sajdak
4Developers 2015: Wybrane podatności w aplikacjach webowych - Michał SajdakPROIDEA
 

Similar to Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław (20)

“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
 
"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać
"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać
"Administrator z przypadku" - Jak działa SQL Server i jak o niego dbać
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
 
Microsoft Business Intelligence w 2017 roku
Microsoft Business Intelligence w 2017 rokuMicrosoft Business Intelligence w 2017 roku
Microsoft Business Intelligence w 2017 roku
 
Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)Praktyczne ataki na aplikacje webowe (TAPT 2015)
Praktyczne ataki na aplikacje webowe (TAPT 2015)
 
Microsoft SQL Server 2000. Księga eksperta
Microsoft SQL Server 2000. Księga ekspertaMicrosoft SQL Server 2000. Księga eksperta
Microsoft SQL Server 2000. Księga eksperta
 
Podstawy ETL z SSIS
Podstawy ETL z SSISPodstawy ETL z SSIS
Podstawy ETL z SSIS
 
SQL. Od podstaw
SQL. Od podstawSQL. Od podstaw
SQL. Od podstaw
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
 
Nowości w zakresie bezpieczeństwa w SQL Server 2016
Nowości w zakresie bezpieczeństwa w SQL Server 2016Nowości w zakresie bezpieczeństwa w SQL Server 2016
Nowości w zakresie bezpieczeństwa w SQL Server 2016
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?
 
Sql Dla Administratora i Dewelopera
Sql Dla Administratora i DeweloperaSql Dla Administratora i Dewelopera
Sql Dla Administratora i Dewelopera
 
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa ITSCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
SCAP – standaryzacja formatów wymiany danych w zakresie bezpieczeństwa IT
 
MySQL
MySQLMySQL
MySQL
 
Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005Poland- Smart Client Technology - MTS 2005
Poland- Smart Client Technology - MTS 2005
 
Wybrane podatności aplikacji webowych - Michał Sajdak
Wybrane podatności aplikacji webowych - Michał SajdakWybrane podatności aplikacji webowych - Michał Sajdak
Wybrane podatności aplikacji webowych - Michał Sajdak
 
4Developers 2015: Wybrane podatności w aplikacjach webowych - Michał Sajdak
4Developers 2015: Wybrane podatności w aplikacjach webowych - Michał Sajdak4Developers 2015: Wybrane podatności w aplikacjach webowych - Michał Sajdak
4Developers 2015: Wybrane podatności w aplikacjach webowych - Michał Sajdak
 
Access 2007 PL. Kurs
Access 2007 PL. KursAccess 2007 PL. Kurs
Access 2007 PL. Kurs
 

More from Krzysztof Binkowski

I tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goI tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goKrzysztof Binkowski
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goKrzysztof Binkowski
 
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski Krzysztof Binkowski
 
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportKrzysztof Binkowski
 
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Krzysztof Binkowski
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Krzysztof Binkowski
 
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKKrzysztof Binkowski
 
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Krzysztof Binkowski
 
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Krzysztof Binkowski
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...Krzysztof Binkowski
 
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejKrzysztof Binkowski
 
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7Krzysztof Binkowski
 
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Krzysztof Binkowski
 
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Krzysztof Binkowski
 

More from Krzysztof Binkowski (15)

I tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_goI tech day_kbinkowski_bitlocker_lab_windows_to_go
I tech day_kbinkowski_bitlocker_lab_windows_to_go
 
I tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_goI tech day_kbinkowski_bitlocker_windows_to_go
I tech day_kbinkowski_bitlocker_windows_to_go
 
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
eMail Forensic at PEPUG 58 - Microsoft Polska - Krzysztof Binkowski
 
Mgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raportMgr k.binkowski computer_forensics_raport
Mgr k.binkowski computer_forensics_raport
 
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
Mgr k.binANALIZA POWŁAMANIOWA W SYSTEMACH MICROSOFT WINDOWS - Krzysztof Binko...
 
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
Certyfikaty od podszewki w oparciu o PKI w windows 2008 MTS 2011
 
BitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACKBitLocker TO GO - szybki start - WGUISW SNACK
BitLocker TO GO - szybki start - WGUISW SNACK
 
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
Co w Facebook’u piszczy, czyli media społecznościowe z perspektywy informatyk...
 
Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010Threat Management Gateway 2010 - Forefront Community launch 2010
Threat Management Gateway 2010 - Forefront Community launch 2010
 
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
WCL2013 - BitLocker w Twoim Windows 8 i w Twoim przedsiebiorstwie w oparciu o...
 
Podążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczejPodążając śladami użytkownika Windows – elementy informatyki śledczej
Podążając śladami użytkownika Windows – elementy informatyki śledczej
 
K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7K binkowski metody_uwierzytelnienia_windows_7
K binkowski metody_uwierzytelnienia_windows_7
 
Podpis cyfrowy office2010
Podpis cyfrowy office2010Podpis cyfrowy office2010
Podpis cyfrowy office2010
 
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
Mts2009 krzysztof binkowski - metody pozyskiwania i zabezpieczania danych w...
 
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
Mts2009 krzysztof binkowski - praktyczne spojrzenie na zastosowanie smartca...
 

Sql z perspektywy hakera czy twoje dane są bezpieczne ? - Sqlday 2016 Wrocław

  • 1.
  • 2. SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..
  • 3. SQLDay 2016 Cel prezentacji Spojrzymy na dane i serwery SQL z perspektywy cyberprzestępcy, omówimy podstawowe i przykładowe ataki na SQL serwer Praktycznie zademonstrujemy podstawowe ataki typu SQL injection w celu zobrazowania możliwości SQLi – najbardziej popularnych ataków na serwery SQL. Zastanowimy się wspólnie czy dane są wykradane z serwerów czy może serwer SQL to magazyn do przechowania pozyskanych/wykorzystanych danych?
  • 4. SQLDay 2016 Agenda Wstęp Trochę teorii … • Statystyki i najbardziej popularne wektory ataków • Motywacja – główne cele atakujących • SQL injection i Blind SQL • Jak się bronić przed SQL injection Trochę praktyki … • DEMO – prezentujemy SQLi – dostęp do bazy danych • DEMO – prezentujemy SQLi – dostęp do OS systemu hosta i zdalne wykonanie poleceń Podsumowanie
  • 5. SQLDay 2016 Zamiast wstępu – Wyciek danych ….. to już prawie codzienność …
  • 6. SQLDay 2016 Trochę statystyk – TOP 10 Attacks Techniques 2015 vs 2014 Źródło: www.hackmageddon.com
  • 7. SQLDay 2016 Trochę statystyki - wektory ataków 03.2016 Źródło: www.hackmageddon.com
  • 8. SQLDay 2016 2015 Web Application Attack Report (WAAR) https://www.imperva.com/docs/HII_Web_Application_Attack_Report_Ed6.pdf
  • 10. SQLDay 2016 Motywacja – główne cele atakujących Sprzedaż pozyskanych danych bazy danych/dane dostępowe na czarnym rynku przestępców (criminal black market) lub potencjalny szantaż Długoterminowy dostęp do sieci. Może obejmować kompromitację systemu operacyjnego serwera baz danych w celu otworzenia dostępu sieciowego dla dalszych ataków lub utrzymania posiadanego dostępu. Wystawnie „zrzutu” bazy na sprzedaż na czarnym rynku przestępców. Kradzież tożsamości jest najbardziej rozpowszechnionym atakiem SQL injection. Zwiększenie reputacji atakującego na „podziemnych” forach poprzez dzielnie się znaleziskami z innymi Utrata reputacji docelowej zaatakowanej organizacji Wykorzystanie witryny/systemu do dystrybucji i propagacji oprogramowania złośliwego (malware) Wykorzystanie szybkich i pojemnych serwerów jako magazynu na kradzione dane
  • 11. SQLDay 2016 Przykładowe ryzyka towarzyszące SQL injection z punktu widzenia ‚biznesu’ Dokonanie modyfikacji lub wykasowanie wrażliwych danych Kradzież danych klientów takich jak: dane osobowe, numery kart kredytowych, inne Straty finansowe Utrata marki i reputacji Kradzież własności intelektualnej Odpowiedzialność prawna i związane z tym kary
  • 12. SQLDay 2016 SQL Injection – SQLi - SQL injection to atak w którym złośliwy kod jest wprowadzony do niefiltrowanych danych wprowadzonych przez użytkownika w celu przesłania i wykonania w postaci komendy SQL serwera - SQL injection – to podstawowy atak wykorzystywany do uzyskania nieautoryzowanego dostępu do bazy danych lub pozyskania informacji bezpośrednio z bazy danych - SQLi – to również podatność webaplikacji lub webserewera a nie tylko bazy danych
  • 14. SQLDay 2016 Przykładowa web-aplikacja / system Image source http://securityhorror.blogspot.com/2012/10/death-dos-ing.html
  • 15. SQLDay 2016 SQLi – przykład działania Źródło: http://baesystemsai.blogspot.com/2016/01/testing-your-defences-against-sql-injection.html
  • 16. SQLDay 2016 Wykorzystanie ataków SQL injection - Ominięcie uwierzytelnienia - czyli uwierzytelnienie w systemie bez wprowadzenia loginu i hasła i pozyskanie dostępu administracyjnego Ujawnienie informacji – pozyskanie danych wrażliwych przechowywanych w bazach danych Naruszenie integralności danych – atakujący może skompromitować stronę/aplikację oraz umieścić złośliwy kod lub podmienić zawartość bazy danych Naruszenie dostępności danych – atakujący może usunąć dane, logi lub inne dane z bazy danych Wykonanie zdalne kodu – atakujący może skompromitować system operacyjny serwera baz danych, poprzez wykonanie poleceń systemowych OS
  • 17. SQLDay 2016 SQL injection – na wesoło ;)
  • 18. SQLDay 2016 SQL injection – na wesoło ;)
  • 19. SQLDay 2016 SQLi a kodeks karny ? • USTAWA z dnia 6 czerwca 1997 r. - Kodeks karny • Art. 267,268,269
  • 20. SQLDay 2016 Przykładowy klasyczny kod aplikacji podatny na SQLi http://www.aspsnippets.com/Articles/SQL-Injection-Attack-its-examples-and-Prevention-mechanisms-and-Techniques-in-ASPNet.aspx
  • 21. SQLDay 2016 Klasyczny przykład SQLi MSSQL http://www.sqlinjectionwiki.com/Categories/1/mssql-sql-injection-cheat-sheet/
  • 22. SQLDay 2016 Klasyczny przykład SQL Injection MSSQL http://www.sqlinjectionwiki.com/Categories/1/mssql-sql-injection-cheat-sheet/
  • 23. SQLDay 2016 • SQLi DEMO • Ominięcie mechanizmu uwierzytelnienia • Utworzenie własnego użytkownika w bazie danych • Utworzenie własnej bazy danych na atakowanym SQL serwerze • Kasowanie bazy danych - DROP DEMO Uwaga prezentowane treści służą tylko i wyłącznie do celów edukacyjnych i wykorzystanie tej techniki bez zgody właściciela systemu może stanowić naruszenie prawa !
  • 24. SQLDay 2016 Klasyczny przykład SQL Injection http://www.sqlinjectionwiki.com/Categories/1/mssql-sql-injection-cheat-sheet/
  • 25. SQLDay 2016 • SQLi demo – zdalne wykonanie kodu OS – Windows 2012 • Wykonanie polecenia ping przez SQLi • Dodajemy użytkownika w systemie Windows przez SQLi • Dodanie utworzonego użytkownika do grupy Administratorów  • A teraz idziemy … do serwera DEMO Uwaga prezentowane treści służą tylko i wyłącznie do celów edukacyjnych i wykorzystanie tej techniki bez zgody właściciela systemu może stanowić naruszenie prawa !
  • 26. SQLDay 2016 BLIND SQL injection ; IF EXISTS(SELECT * FROM creditcard) WAITFOR DELAY ‚0:0:10’-- Jeśli baza „creditcard” istnieje TAK NIE Nie możemy przetworzyć Twojego żądania, spróbuj ponownie Nie możemy przetworzyć Twojego żądania, spróbuj ponownie Po 10 sek
  • 27. SQLDay 2016 Narzędzia do SQLi – przykłady sqlmap, BSQL Hacker
  • 28. SQLDay 2016 Narzędzia do SQLi – przykłady DroidSQLi – telefon komórkowy lub tablet http://www.prophethacker.com/
  • 29. SQLDay 2016 Jak się bronić przed SQLi - ogólnie Źródło: Szkolenie CEH v9– EC-COUNCIL
  • 30. SQLDay 2016 Jak się bronić przed SQLi - ogólnie 1. Comprehensive data sanitization. 2. Use a web application firewall. 3. Limit database privileges by context. 4. Avoid constructing SQL queries with user input. 5. Penetration Testing 6. Recomednations OWASP etc
  • 31. SQLDay 2016 Warte uwagi … • Nie ufaj danym z zewnątrz (także z systemów zależnych czy plików) • Nie ufaj danym z bazy • Nie sklejaj SQL z danymi (PreparedStatement) • Ogranicz uprawnienia kont w serwerze bazy danych • Stosuj własne komunikaty o błędach • Szyfruj dane • Sprawdzaj regularnie podatności (np. za pomocą testów penetracyjnych) • Używaj widoków i procedur składowanych • Filtruj dane wejściowe • inne
  • 32. SQLDay 2016 SQL serwer z perspektywy hakera Jeśli SQL serwer zawiera interesujące dane dla hakera • Kradzież i sprzedaż pozyskanych danych • Kompromitacja i utrata reputacji organizacji • Kradzież tożsamości użytkowników • Kasowanie danych Jeśli SQL serwer nie zawiera interesujących danych dla hakera • Wykorzystanie witryny/systemu do dystrybucji i propagacji oprogramowania złośliwego (malware) • Wykorzystanie szybkich i pojemnych serwerów jako magazynu na kradzione dane z innych serwerów
  • 33. SQLDay 2016 Podsumowanie • Spojrzeliśmy na dane i serwery SQL z perspektywy cyberprzestępcy • Omówiliśmy podstawowe i przykładowe ataki na SQL serwer • Praktycznie zademonstrowaliśmy podstawowe ataki typu SQL injection w celu zobrazowania możliwości SQLi • Omówiliśmy ogólne zasady ochrony przed SQLi
  • 34. SQLDay 2016 Dziękuję za uwagę http://netcomputer.pl