SQL Injection Scanner Tools
zwakke web app code kan hackers toegang geven tot uw database en netwerk
SQL Injection Overview
SQL injection is momenteel de meest voorkomende vorm van website aanval in die zin dat webformulieren zijn zeer gebruikelijk, vaak zijn ze niet goed gecodeerd en de hacking tools gebruikt om zwakke punten te vinden en te profiteren van hen zijn algemeen online beschikbaar. Dit soort exploit is gemakkelijk genoeg om te bereiken dat zelfs onervaren hackers onheil kunnen bereiken. Echter, in de handen van de zeer bekwame hacker, een web code zwakte kan onthullen root niveau toegang van webservers en van daaruit aanvallen op andere netwerk servers kunnen worden bereikt.
Structured Query Language (SQL) is de bijna universele taal van databases die het opslaan, manipuleren en ophalen van gegevens mogelijk maakt. Databases die gebruik maken van SQL omvatten MS SQL Server, MySQL, Oracle, Access en Filemaker Pro en deze databases zijn eveneens onderworpen aan SQL injectie aanval.
webgebaseerde formulieren moeten enige toegang tot uw database toestaan om het invoeren van gegevens en een reactie mogelijk te maken, dus dit soort aanvallen omzeilt firewalls en endpoint verdediging. Elk webformulier, zelfs een eenvoudig aanmeldingsformulier of zoekvak, kan toegang geven tot uw gegevens door middel van SQL-injectie indien onjuist gecodeerd.
hoe SQL-injectie werkt
Prospects, klanten, werknemers en zakenpartners kunnen allemaal het recht hebben om informatie uit uw database op te slaan of op te vragen. Uw site staat waarschijnlijk elke bezoeker van de site toe om gegevens in te dienen en op te halen. Legitieme toegang voor bezoekers omvat site zoeken, aanmelden formulieren, contactformulieren, logon formulieren en al deze bieden vensters in uw database. Deze verschillende punten van toegang zijn heel goed mogelijk opgenomen in ‘off-the-shelf’ toepassingen of kunnen aangepaste toepassingen ingesteld voor uw site. Deze formulieren en hun ondersteunende code zijn waarschijnlijk afkomstig uit vele bronnen, werden verworven op verschillende tijdstippen en mogelijk geïnstalleerd door verschillende mensen.
SQL-injectie is het gebruik van deze openbaar beschikbare velden om toegang te krijgen tot uw database. Dit wordt gedaan door het invoeren van SQL commando ‘ s in uw formuliervelden in plaats van de verwachte gegevens. Onjuist gecodeerde formulieren zal een hacker om ze te gebruiken als een toegangspunt tot uw database op welk punt de gegevens in de database zichtbaar kan worden en toegang tot andere databases op dezelfde server of andere servers in het netwerk mogelijk zijn.
websitefuncties zoals contactformulieren, aanmeldingspagina ‘ s, ondersteuningsverzoeken, zoekfuncties, feedbackvelden, winkelwagentjes en zelfs de functies die dynamische webpagina-inhoud leveren, zijn allemaal vatbaar voor SQL-injectieaanval omdat de velden die voor bezoekers worden gepresenteerd, ten minste enkele SQL-opdrachten rechtstreeks naar de database moeten laten doorstromen.
SQL-injectie risico
aangezien databases veel websitefuncties beheren, nodigen bijna alle websites bezoekers uit om input te geven en zo veel webformulieren kwetsbaar zijn, is SQL-injectie uitgegroeid tot en jarenlang de meest gebruikte vorm van website-hacking-tool. Bovendien, zo veel criminelen zijn nu met behulp van SQL injectie dat nieuwe server, applicatie en code zwakheden worden ontdekt bijna dagelijks.
uit onze eigen gegevens blijkt dat de meeste (meer dan de helft) van de websites die we moeten scannen, SQL-injectierisico ‘ s van hoge of gemiddelde niveaus hadden. Een hoog risiconiveau is er een dat in feite een ontgrendelde, onbewaakte deur is. Een middelgroot risico is een risico dat in combinatie met een of meer andere factoren problemen zou kunnen betekenen. Een nog groter aantal sites had lage risico ‘ s. Wat u moet weten: het percentage sites met ten minste één groot risico neemt toe.
hoewel SQL-injectie al jaren bekend is, zijn er verschillende factoren die het risico doen toenemen. Ten eerste is dat meer bedrijven bieden meer Website interactie met bezoekers en deze trend neemt dramatisch toe. Ten tweede is dat naarmate meer hackers vaardigheden verwerven in SQL-injectie, ze meer toepassingen en diensten ontdekken die vatbaar zijn voor aanvallen en nieuwe aanvallen ontwikkelen op oude toepassingen. Het resultaat is een bijna exponentiële toename van de mogelijkheden om deze aanvalsmethode te gebruiken.
uw risico om succesvol aangevallen te worden met SQL injection is gebaseerd op twee factoren: de aard en de grootte van uw bedrijf en de leeftijd, de status van updates en patches op uw applicaties en de vaardigheid en het aantal van uw technisch personeel. Het komt neer op de vraag of u een interessant doel en of uw webserver, de applicaties op het en uw website code zijn goed ontworpen, goed geïntegreerd en hebben alle huidige patches en updates.
uw site is in direct gevaar als uw bedrijf gegevens van hoge waarde opslaat, als uw bedrijf of entiteit actief is op een zeer omstreden gebied, of als uw site politiek of sociaal belang of waarde heeft. Natuurlijk als je iets van monetaire waarde dan bent u een doelwit. Maar je bent ook een doelwit als uw site is een opinieleider in een controversiële omgeving. We zijn door bloggers om hulp gevraagd omdat het onderwerp dat daar werd behandeld SQL-injectieaanvallen had getrokken.
SQL-injectieaanvallen worden nu online aangevraagd. Een boos klant, concurrent, of zelfs ex echtgenoot kan nu gemakkelijk huren van een ‘ script kiddie – – of erger nog, een getalenteerde hacker-om een site aan te vallen. De kans dat de hacker gepakt wordt is klein. De kans dat de boos partij schade aan uw site kan veroorzaken zonder te worden gevingerd als de verantwoordelijke partij is hoog.
technisch gezien loopt u het risico op SQL-injectie als u apparatuur of toepassingen heeft die niet routinematig zijn bijgewerkt en gepatcht, of als u code op uw site heeft die niet correct is geschreven. De leeftijd van de apparatuur, de toepassingen en de code zijn een ruwe indicator van het risico. Een ander punt is het aantal betrokken servers, het aantal applicaties en het aantal toegangspunten voor websites. Als u gebruik maakt van gehoste servers of als u gebruik maakt van uitbestede technische middelen, dan is een beoordeling door derden van de beveiliging van uw site belangrijk. En zelfs in-house personeel kan zo worden ingedrukt voor de tijd en kort op de middelen die updates en patches kunnen krijgen vertraagd of oude legacy code te gebruiken zonder de juiste beoordeling.
SQL-injectie voorbeeld
elke keer dat een websitebezoeker gegevens invoert in een formulier op uw site wordt een SQL-query gegenereerd en in uw database geleverd. In het geval van een eenvoudig aanmeldingsformulier worden de gebruikersnaam en het wachtwoord aan de database gepresenteerd en indien geldig, reageert de database met een antwoord en de gebruiker krijgt toegang (of niet). Dus, het maakt niet uit hoe eenvoudig de vorm of web proces, database toegang is vereist en een reactie wordt verwacht.
met behulp van SQL-injectie zal een hacker proberen een specifiek ontworpen SQL-commando ‘ s in een formulierveld in te voeren in plaats van de verwachte informatie. De bedoeling is om een reactie van de database die zal helpen de hacker begrijpen van de database constructie, zoals tafel namen te beveiligen. De volgende stap is het openen en bekijken van gegevens in belangrijke tabellen of het toevoegen van gegevens aan tabellen, zoals het toevoegen van nieuwe accounts of gebruikersnamen en wachtwoorden. De derde stap, ruwweg, zou zijn om de toegang tot de database te gebruiken om te ontdekken en te wijzigen beveiligingsinstellingen op een server die een hacker administratieve toegang zou toestaan.
elke dynamische scripttaal, inclusief ASP, ASP.NET, PHP, JSP, en CGI is kwetsbaar voor aanvallen. De enige apparatuur die nodig is, is een webbrowser. Er zijn tools op grote schaal beschikbaar online die het proces van het zoeken naar zwakke punten semi-automatiseren, en er zijn veel forums waarin hackers delen exploits en elkaar helpen obstakels te overwinnen.
SQL Injection Outcomes
zoals u zich kunt voorstellen, betekent een hacker die administratieve toegang tot uw server krijgt dat u effectief alle gegevens op die server aan de invader hebt verloren. Erger nog, er is nu een bruggenhoofd achter je firewall van waaruit aanvallen op andere servers en diensten nu kunnen worden gemaakt. Op deze manier kan SQL injection toegang bieden tot alle bedrijfs-of persoonlijke gegevens.
vanuit het oogpunt van een hacker is geheimhouding een onderdeel van de hack dat bijna net zo belangrijk is als de inbraak. Een soort ‘alarm’ laten afgaan is het laatste wat ze willen doen. Hun infiltratie werk kost tijd en vaak de waarde van gestolen gegevens daalt als de diefstal wordt ontdekt (informatie van waarde in identiteitsdiefstal of credit card diefstal bijvoorbeeld). Dus SQL injectie hacks worden vaak ontdekt maanden en in sommige gevallen jaren na hun initiatie.
als regelrechte schade de bedoeling is, dan is er geen tekort aan slechte dingen die kunnen worden gedaan aan een database zodra men toegang heeft gekregen tot het uitvoeren van commando ‘ s. Een hele tabel kan permanent worden verwijderd met behulp van een enkele SQL-opdracht. Maar een meer geavanceerde SQL injectie aanval kan massale corruptie van grote databases en zelfs vernietiging van back-up kopieën te betrekken.
verdediging tegen SQL-injectie
omdat websites constante toegang tot de database vereisen, bieden firewalls weinig of geen bescherming tegen SQL-injectieaanvallen. Uw website is openbaar en firewalls moeten worden ingesteld om elke bezoeker toegang te geven tot uw database, meestal via poort 80/443.
antivirusprogramma ‘ s zijn even ineffectief bij het blokkeren van SQL-injectieaanvallen. Ze zijn bedoeld om een heel ander soort inkomende gegevens te herkennen en te stoppen.
de meest gebruikte SQL-injectieafweer bestaat uit twee componenten. Ten eerste is er routine updaten en patchen van alle servers, diensten en applicaties die natuurlijk vele voordelen heeft en gebruikelijk is. Dan is er het produceren en gebruiken van goed geschreven en goed geteste website code die onverwachte SQL commando ‘ s verbiedt.
deze twee verdedigingen zijn per definitie voldoende om elke SQL injectie aanval te stoppen. Dus, waarom zijn website kwetsbaarheden en risico ‘ s op de stijging en waarom zijn succesvolle aanvallen vaker voorkomen? De antwoorden zijn elk eenvoudig, en combineren in een ontmoedigende lijst:
- Het aantal servers, toepassingen en het volume van de code op web-sites is de toenemende
- Deze servers applicaties en code talen met elkaar in soms onvoorspelbare manieren
- het aantal en De frequentie van updates en patches is het verhogen van
- IT-afdelingen doen meer werk met minder personeel en een aantal activiteiten, zoals updates krijgen uitgesteld
- HET personeelsverloop en ontslagen soms laat gecamoufleerd gaten in de beveiliging routines
- het Automatisch installeren van elke patch en de update die langs komt vaak produceert ongewenste bijwerkingen
- Legacy code is vaak opnieuw gebruikt wanneer websites worden bijgewerkt, soms is het houden van code die is geschreven naar oude normen in gebruik, lang nadat het was verouderd
- Het aantal mensen dat proberen te doen hacks en het aantal beschikbare tools vereenvoudigen het hacken van zijn beide gaan bijna exponentieel
Meer en meer bedrijven met grote risico factoren en grote web ‘footprints’ komen om te concluderen dat het patchen van alles en het aannemen van meer personeel te kijken naar de werken van het bestaande personeel is niet meer levensvatbaar.
Web Site SQL Injection Scanner Tool Solution
de nieuwe oplossing voor SQL injection aanvallen (en alle andere web-based aanvallen) is om beperkte en waardevolle it-tijd te concentreren op de ernstige risico ‘ s die daadwerkelijk aanwezig zijn, in plaats van een shotgun aanpak te gebruiken en elke mogelijke oplossing toe te passen op elke server, elke applicatie en elke pagina code, of het nu nodig was of niet. Deze nieuwe aanpak is als het hebben van een arts evalueren van een patiënt en het uitschrijven van het ene medicijn dat nodig is om een remedie te produceren, in plaats van dat de patiënt direct naar de apotheek om elk mogelijk medicijn te krijgen en ze allemaal in een keer.
een grotere beveiliging wordt bereikt door het gebruik van testtools voor webtoepassingen, zoals beSECURE, als een SQL-injectiescanner om een website te onderzoeken (scannen) met behulp van een lijst van duizenden bekende aanvallen en vervolgens verslag uit te brengen over de relatief weinig (meestal minder dan een dozijn) ernstige problemen.
Website scanning werkt op basis van het spotten en rapporteren van bekende risico ‘ s. Veel voorkomende hacking is zeer ‘publieke’ activiteit. De tools worden op grote schaal gepromoot. Technieken worden op grote schaal verspreid in openbare fora. Zelfs nieuwe methoden worden binnen enkele uren of dagen na hun eerste gebruik Openbaar, dankzij groepen zoals SecuriTeam.com en anderen die op anderen letten en dan anderen in het algemeen waarschuwen.
BeSECURE, het geautomatiseerde kwetsbaarheidsdetectiesysteem, is een webgebaseerde dienst die gebruik maakt van een compilatie van alle bekende risico ‘ s in families en alle families in een enkele database die vele jaren heeft gekost om te compileren en vele uren per dag om te onderhouden. Met behulp van deze database beSECURE kan elke website te evalueren en een rapport van de reële en huidige risico ‘ s beoordeeld op basis van hun relatieve belang – vaak binnen uren en zonder storende lopende site-activiteiten.
nu kunt u uw waardevolle it-manuren nemen en direct echte risico ’s aanpakken, zoals SQL-injectie, in plaats van honderden uren te besteden aan het installeren van patches en updates, waarvan de meeste u niet nodig hebt of die risico’ s behandelen die zo klein zijn dat ze verwaarloosbaar zijn.
voor meer informatie over beSECURE kunt u het formulier op deze pagina gebruiken of contact met ons opnemen.