SQL Injection!!!!

Sono praticamente a secco di tecniche di Hacking ma una serie di post che ho trovato girovagando per Internet mi hanno convinto ad approfondire l’argomento sulla SQL Injection. Praticamente questa tecnica si utilizza principalmente in tutti quei siti web dinamici che hanno del codice lato server (php,ASP,JSP etc) che accede ad un database sottostante per inserire ed autenticare gli utenti del sistema. In pratica una volta inseriti la USER e la PWD in un form, il codice li passa ad un DB SQL tramite una classica query del tipo SELECT field wher USER=”valore inserito nel form” AND PWD=”valore inserito nel form” e qui sta la tecnica del SQL injection, molti db per esempio l’ottimo mySQL hanno sempre un utente root nel sistema quindi il primo campo del form nel sito web possiamo riempirlo con questo dato, per quanto riguarda la password possiamo inserire una cosa di questo tipo 123′ or ‘1’ =’1 in questo modo riformulando la query andiamo ad inserire una pwd che crea un’affermazione sempre vera che ci da accesso al sito web. Questa tecnica può essere facilmente aggirata dagli sviluppatori del sito, validando i campi o inserendo delle sequenze di escape che eliminano la condizione in OR.

PS:Questo post è solo un modo per far capire a chi sviluppa siti web, quanto sia importante la sicurezza e non certo un modo per creare problemi a qualcuno.

Maggiori Informazioni sulla tecnica.

Un modo per proteggersi (php).

Leave a Reply