{"id":31805,"date":"2020-01-17T02:07:03","date_gmt":"2020-01-17T10:07:03","guid":{"rendered":"https:\/\/staging.kinsta.site\/?p=62827"},"modified":"2022-07-16T14:43:57","modified_gmt":"2022-07-16T13:43:57","slug":"sql-injection","status":"publish","type":"post","link":"https:\/\/staging.kinsta.site\/it\/blog\/sql-injection\/","title":{"rendered":"SQL Injection: Una Guida Introduttiva per gli Utenti di WordPress"},"content":{"rendered":"

SQL (Structured Query Language) \u00e8 un linguaggio che ci permette di interagire con i database<\/a>. Le moderne applicazioni web utilizzano database per gestire i dati e visualizzare contenuti dinamici ai lettori.<\/p>\n

SQL injection, o SQLi, \u00e8 un attacco portato ad un’applicazione web che compromette il database attraverso dichiarazioni SQL dannose.<\/p>\n

Dato che si tratta di un attacco frequente, cerchiamo di capire meglio cos’\u00e8, come succede e come difendersi.<\/p>\n

Pronti? Cominciamo!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Cosa \u00e8 una SQL Injection?<\/h2>\n

SQL injection, o SQLi, \u00e8 un tipo di attacco portato ad un’applicazione web che consente a un aggressore di inserire istruzioni SQL dannose nell’applicazione, ottenendo potenzialmente l’accesso a dati sensibili presenti nel database o distruggendo questi dati. SQL injection \u00e8 stato scoperto per la prima volta da Jeff Forristal nel 1998.<\/p>\n

Nei vent’anni dalla sua scoperta, l’SQL injection \u00e8 sempre stata la priorit\u00e0 assoluta degli sviluppatori web<\/a> nella progettazione di applicazioni.<\/p>\n

Nel 2012, Barclaycard ha stimato che il 97% delle violazioni di dati inizia con un attacco SQL injection<\/a>. Le SQL injection sono prevalenti ancora oggi e la gravit\u00e0 degli attacchi di iniezione in un’applicazione web \u00e8 ampiamente riconosciuta. \u00c8 uno dei dieci rischi pi\u00f9 critici per la sicurezza delle applicazioni web<\/a> secondo l’OWASP.<\/p>\n

Come Funziona la Vulnerabilit\u00e0 delle SQL Injection?<\/h2>\n

Una vulnerabilit\u00e0 da SQL injection d\u00e0 a un aggressore l’accesso completo al database della vostra applicazione attraverso l’uso di istruzioni SQL dannose.<\/p>\n

In questa sezione, mostriamo un esempio di come si presenta un’applicazione vulnerabile.<\/p>\n

Immaginate il flusso di lavoro di una tipica applicazione web che coinvolge le richieste di database attraverso gli input degli utenti. Si prende l’input dell’utente attraverso un modulo, ad esempio un modulo di login<\/a>. Si interroga quindi il proprio database con i campi inviati dall’utente per l’autenticazione. La struttura della query sul database \u00e8 qualcosa del genere:<\/p>\n

select * from user_table\nwhere\u00a0username = 'sdaityari'\nand\u00a0password = 'mypassword';\n<\/code><\/pre>\n
Per semplicit\u00e0, supponiamo che le password siano memorizzate come testo in chiaro. \u00c8 comunque una buona prassi salare le vostre password<\/a> e quindi metterle a posto. Andando avanti, se avete ricevuto il nome utente e la password dal modulo, potete definire la query in PHP come segue:<\/p>\n
\/\/ Connect to SQL database\n$db_query = \"select * from user_table where\nusername = '\".$user.\"'\nAND password = '\".$password.\"';\";\n\/\/ Execute query\n<\/code><\/pre>\n
Se qualcuno inserisce il valore “admin’;-” nel campo username, la query SQL risultante generata dalla variabile $db_query sar\u00e0 la seguente:<\/p>\n
select * from user_table where\nusername = 'admin';--' and password = 'mypassword'\n<\/code><\/pre>\n
A cosa serve questa domanda?<\/p>\n
Un commento in SQL inizia con un doppio trattino (–). La query risultante filtra solo in base al nome utente, senza prendere in considerazione la password. Se non ci fosse alcuna misura di sicurezza per evitarlo, vi sarebbe semplicemente concesso l’accesso all’applicazione web come amministratore semplicemente utilizzando questo trucco.<\/p>\n
In alternativa, in questo esempio si pu\u00f2 utilizzare anche un attacco booleano per ottenere l’accesso. Se un aggressore inserisce “password” o 1=1;-” nel campo della password, la richiesta risultante sarebbe la seguente:<\/p>\n
select * from user_table where\nusername = 'admin' and\npassword = 'password' or 1=1;--';\n<\/code><\/pre>\n
In questo caso, anche se la vostra password \u00e8 sbagliata, verreste autenticati nell’applicazione. Se la vostra pagina web visualizza i risultati dell’interrogazione del database, l’aggressore pu\u00f2 utilizzare il comando show tables, che \u00e8 il comando per visualizzare le tabelle presenti nel database, e poi, se lo desidera, pu\u00f2 selezionare le tabelle in modo selettivo.<\/p>\n
\"Un
Un fumetto su SQL injection (sorgente immagine: XKCD<\/a>)<\/figcaption><\/figure>\n
Exploits of a Mom, un popolare fumetto di XKCD, mostra la conversazione di una madre con la scuola del figlio, dove le viene chiesto se ha davvero chiamato suo figlio “Robert’); DROP TABLE Students; –“.<\/p>\n
Tipi di SQL Injection<\/h2>\n
Ora che si conoscono le nozioni di base di una vulnerabilit\u00e0 da SQL injection, esploriamo i vari tipi di attacchi SQL injection e il motivo che sta dietro a ciascuno di essi.<\/p>\n
Iniezione SQL In-Band<\/h3>\n
L’SQL injection in-Band \u00e8 la forma pi\u00f9 semplice di SQL injection. In questo processo, l’aggressore \u00e8 in grado di utilizzare lo stesso canale per inserire il codice SQL dannoso nell’applicazione e raccogliere i risultati. Discuteremo di due forme di attacchi SQL injection in-band:<\/p>\n
Attacco Basato su Errori<\/h4>\n
Un attaccante utilizza una tecnica di SQL injection basata su errori durante le fasi iniziali del suo attacco. L’idea alla base di una SQL injection basata su errori \u00e8 quella di ottenere ulteriori informazioni sulla struttura del database e sui nomi delle tabelle utilizzate dall’applicazione web. Ad esempio, un messaggio di errore pu\u00f2 contenere il nome della tabella incluso nella query e i nomi delle colonne della tabella. Questi dati possono poi essere utilizzati per creare nuovi attacchi.<\/p>\n
Attacco Union-Based<\/h4>\n
In questo metodo, un attaccante utilizza una union join SQL per visualizzare i risultati di una tabella diversa. Ad esempio, se un aggressore si trova su una pagina di ricerca<\/a>, pu\u00f2 aggiungere i risultati di un’altra tabella.<\/p>\n
select title, link from post_table\nwhere id < 10\nunion\nselect username, password\nfrom user_table; --;\n<\/code><\/pre>\n
SQL Injection Inferenziale (Blind SQL Injection)<\/h3>\n
Anche se un aggressore genera un errore nella query SQL, la risposta della query non pu\u00f2 essere trasmessa direttamente alla pagina web. In tal caso, l’aggressore deve sondare ulteriormente.<\/p>\n
In questa forma di SQL injection, l’aggressore invia diverse interrogazioni al database per valutare come l’applicazione analizza queste risposte. Un’iniezione SQL inferenziale \u00e8 talvolta nota anche come Blind SQL injection<\/strong>. Di seguito vedremo due tipi di SQL injection inferenziali: SQL injection booleana e SQL injection basata sul tempo.<\/p>\n
Attacco Booleano<\/h4>\n
Se una query SQL d\u00e0 come risultato un errore che non \u00e8 stato gestito internamente nell’applicazione, la pagina web risultante pu\u00f2 emettere un errore, caricare una pagina vuota o caricare parzialmente. In una SQL injection booleana, un attaccante valuta quali parti dell’input di un utente sono vulnerabili alle SQL injection provando due diverse versioni di una clausola booleana attraverso l’input:<\/p>\n