{"id":29380,"date":"2020-01-23T07:29:01","date_gmt":"2020-01-23T15:29:01","guid":{"rendered":"https:\/\/staging.kinsta.site\/?p=62827"},"modified":"2022-07-13T10:34:30","modified_gmt":"2022-07-13T08:34:30","slug":"sql-injecties","status":"publish","type":"post","link":"https:\/\/staging.kinsta.site\/nl\/blog\/sql-injecties\/","title":{"rendered":"SQL-injecties: een beginnershandleiding voor gebruikers van WordPress"},"content":{"rendered":"

SQL (Structured Query Language) is een taal waarmee we met databases<\/a> kunnen communiceren. Moderne webapplicaties gebruiken databases om gegevens te beheren en dynamische inhoud weer te geven aan lezers.<\/p>\n

SQL-injectie, of SQLi, is een aanval op een webapplicatie<\/span> door de database te hacken middels kwaadaardige SQL-instructies.<\/p>\n

Aangezien het een veel voorkomende aanval is, is het zinvol om meer te weten te komen over wat het is, hoe het gebeurt en hoe je je ertegen kan verdedigen.<\/p>\n

Klaar voor de start? Af!<\/p>\n

<\/div><\/kinsta-auto-toc>\n

Wat zijn SQL-injecties?<\/h2>\n

SQL-injectie, of SQLi, is een type aanval op een webtapplicatie waarmee een aanvaller kwaadaardige SQL-instructies in de webapplicatie kan toevoegen, mogelijk toegang krijgt tot gevoelige gegevens in de database of deze gegevens vernietigt. SQL-injectie werd voor het eerst ontdekt door Jeff Forristal in 1998.<\/p>\n

In de twee decennia sinds zijn ontdekking is SQL-injectie consequent de topprioriteit van webontwikkelaars<\/a> geweest bij het ontwerpen van applicaties.<\/p>\n

Barclaycard schatte in 2012 dat 97% van de datalekken beginnen met een SQL-injectieaanval<\/a>. Ook vandaag de dag komen SQL-injecties veel voor en de ernst van deze aanvallen worden door slechts weinigen nog onderschat. Volgens OWASP is het een van tien belangrijkste beveiligingsrisico’s<\/a>.<\/p>\n

Hoe werken beveiligingslekken met betrekking tot SQL-injecties?<\/h2>\n

Een SQL-injectie beveiligingslek geeft een aanvaller complete toegang tot de database van je applicatie door het gebruik van kwaadaardige SQL-instructies.<\/p>\n

In dit gedeelte geven we een voorbeeld van hoe een kwetsbare applicatie eruitziet.<\/p>\n

Stel je de workflow voor van een typische webapplicatie waarbij database-aanvragen via userinput worden gemaakt. De userinput wordt gedaan via een formulier, bijvoorbeeld een inlogformulier<\/a>. Vervolgens voer je een query uit in je database met de velden die door de gebruiker zijn ingediend om ze te verifi\u00ebren. De structuur van de query naar je database ziet er ongeveer zo uit:<\/p>\n

select * from user_table\nwhere\u00a0username = 'sdaityari'\nand\u00a0password = 'mypassword';\n<\/code><\/pre>\n
Laten we er voor de eenvoud van uitgaan dat je je wachtwoorden als platte tekst opslaat. Het is echter een goede gewoonte om je wachtwoorden te salten<\/a> en vervolgens te hashen. Als je de gebruikersnaam en het wachtwoord van het formulier hebt ontvangen, kan je de query in PHP als volgt defini\u00ebren:<\/p>\n
\/\/ Connect to SQL database\n$db_query = \"select * from user_table where\nusername = '\".$user.\"'\nAND password = '\".$password.\"';\";\n\/\/ Execute query\n<\/code><\/pre>\n
Als iemand de waarde “admin’;\u2013” invoert in het veld username, is de resulterende SQL-query die de variabele $db_query genereert als volgt:<\/p>\n
select * from user_table where\nusername = 'admin';--' and password = 'mypassword'\n<\/code><\/pre>\n
Wat doet deze query?<\/p>\n
Een opmerking in SQL start met dubbele streepjes (–). De resulterende zoekopdracht filtert alleen op de gebruikersnaam zonder rekening te houden met het wachtwoord. Als er geen beveiliging is ingebouwd die dit belet, dan kan je met deze truc doodeenvoudig beheerdersrechten krijgen voor deze webapplicatie.<\/p>\n
Als alternatief kan in dit voorbeeld ook een boolean aanval worden gebruikt om toegang te krijgen. Als een aanvaller “password’ or 1=1;\u2013” in het wachtwoordveld invoert, dan ziet de resulterende query er als volgt uit:<\/p>\n
select * from user_table where\nusername = 'admin' and\npassword = 'password' or 1=1;--';\n<\/code><\/pre>\n
In dit geval, zelfs als je wachtwoord onjuist is, krijg je toegang tot de applicatie. Als je webpagina de resultaten van de databasequery weergeeft, dan kan je aanvaller de opdracht show tables gebruiken, een opdracht uitvoeren om de tabellen in de database te zien en vervolgens selectief tabellen verwijderen als ze dat willen.<\/p>\n
\"Een
Een cartoon over SQL-injectie (bron: XKCD<\/a>)<\/figcaption><\/figure>\n
Exploits of a Mom, een populaire strip van XKCD, toont het gesprek van een moeder met de school van haar zoon, waar ze wordt gevraagd of ze haar zoon echt \u201cRobert\u2019); DROP TABLE Students; \u2013\u201d heeft genoemd.<\/p>\n
Soorten SQL-injectie<\/h2>\n
Nu je de basisprincipes kent van kwetsbaarheden rond SQL-injecties, gaan we de verschillende soorten SQL-injectieaanvallen onderzoeken en de reden achter elk van deze aanvallen.<\/p>\n
In-band SQL-injectie<\/h3>\n
In-band SQL-injectie is de eenvoudigste vorm van SQL-injectie. In dit proces kan de aanvaller hetzelfde kanaal gebruiken om de schadelijke SQL-code in de toepassing in te voegen en de resultaten te verzamelen. We zullen twee vormen van in-band SQL-injectieaanvallen bespreken:<\/p>\n
Error-based aanval<\/h4>\n
Een aanvaller gebruikt een error-based SQL-injectietechniek tijdens de eerste fasen van zijn aanval. Het idee achter een error-based SQL-injectie is om meer informatie te krijgen over de databasestructuur en tabelnamen van de webapplicatie. Een foutbericht kan bijvoorbeeld de tabelnaam blootleggen die is opgenomen in de query, maar ook de kolomnamen van de tabel. Deze gegevens kunnen vervolgens worden gebruikt om nieuwe aanvallen op te zetten.<\/p>\n
Union-based aanvallen<\/h4>\n
Bij deze methode kan een aanvaller de SQL union join gebruiken om de resultaten van een andere table weer te geven. Als een aanvaller zich bijvoorbeeld op een zoekpagina<\/a> bevindt, dan kunnen ze de resultaten van een andere tabel toevoegen.<\/p>\n
select title, link from post_table\nwhere id < 10\nunion\nselect username, password\nfrom user_table; --;\n<\/code><\/pre>\n
Inferenti\u00eble SQL-injectie (blinde SQL-injectie)<\/h3>\n
Zelfs als een aanvaller een foutmelding in de SQL-query genereert, wordt het antwoord van de query niet altijd rechtstreeks naar de webpagina verzonden. In dat geval moet de aanvaller verder zoeken.<\/p>\n
In deze vorm van SQL-injectie stuurt de aanvaller verschillende query’s naar de database om te kijken hoe de toepassing deze antwoorden analyseert. Een inferenti\u00eble SQL-injectie wordt ook wel een blinde SQL-injectie<\/strong> genoemd. Hieronder zullen we twee soorten inferenti\u00eble SQL-injecties bekijken, boolean SQL-injectie en time-based SQL-injectie.<\/p>\n
Boolean aanval<\/h4>\n
Als een SQL-query resulteert in een fout die niet intern in de toepassing kan worden verwerkt, kan de resulterende webpagina een foutmelding geven, een lege pagina laden of slechts gedeeltelijk laden. In een boolean SQL-injectie beoordeelt een aanvaller welke delen van de invoer van een gebruiker kwetsbaar zijn voor SQL-injecties door twee verschillende versies van een Booleaanse clausule te testen via de volgende input:<\/p>\n