Na semana passada ao navegar por um site, lembrei-me de fazer um pequeno teste à segurança do mesmo e para minha surpresa, ou não, o site era vulnerável a ataques do tipo sql injection.
Depois de ter enviado um e-mail aos responsáveis do site a avisar e de eles terem corrigido o problema, lembrei-me de falar um pouco sobre este tema.
O que é que são ataques do tipo SQL Injection?
Basicamente são ataques que exploram o facto as instruções SQL serem criadas dinamicamente com os valores dos inputs (formulários / querystring), sem que estes sejam devidamente tratados. Estes ataques tornam possível executar código sql, tal como U_PDATE, I_NSERT, D_ROP, etc., e até executar programas no servidor web!
Mas como é que funciona?
Vou tentar mostrar como é que o SQL Injection funciona através de um exemplo muito simples.
Para isso vou criar uma página de autenticação de utilizadores feita em PHP e MySQL.
Resumidamente vou ter:
- uma base de dados MySQL com uma tabela “utilizadores”;
- um ficheiro em php (login.php) onde vou ter o formulário HTML e o código PHP para validar os utilizadores na base de dados.
O aspecto da página login.php será qualquer coisa deste género:
Formulário de Login (login.php)
Passando à parte prática
Neste exemplo, a construção da instrução SQL é feita de forma dinâmica, utilizando os valores dos formulários sem qualquer tipo de validação.
Temos então que:
$sql="S_ELECT id F_ROM utilizadores WHERE login='".$_POST["utilizador"]."' and password='".$_POST["password"]."'";
Se no formulário introduzirmos os dados: “admin” e “1234“, a nossa instrução sql vai ficar:
S_ELECT id F_ROM utilizadores WHERE login='admin' and password='1234'
Aparentemente até aqui não existe qualquer problema. Só se adivinharmos o utilizador e a password é que vamos conseguir efectuar o login com sucesso.
O problema começa quando começamos a utilizar caracteres especiais do sql (que podem variar consoante a base de dados) nos inputs.
Por exemplo: vamos ver o que acontece se introduzirmos no utilizador o seguinte texto:
xpto' or 1=1#
O SQL resultante seria:
S_ELECT id F_ROM utilizadores WHERE login='xpto' or 1=1#' and password='1234'
Neste caso estou a utilizar dois caracteres especiais. a pelica “ ‘ ” e o cardinal “ # “.
O 1.º serve para delimitarmos campos do tipo “texto”.
O 2.º serve para fazer comentários.
Assim sendo, como carácter # é um carácter especial ( carácter p/ comentários), tudo o que vier depois do # vai ser ignorado pelo motor da BD. Ficamos então com:
S_ELECT id F_ROM utilizadores WHERE login='xpto' or 1=1#
Se analisarmos o sql vemos que além de termos ignorado todo o código sql que vier depois do #, estamos também a inserir a condição “ OR 1=1 “. Como esta condição é sempre verdade (1=1), o resultado da pesquisa vai devolver sempre pelo menos um id (a não ser que a tabela utilizadores esteja vazia).
Isto é, apesar de até poder não existir nenhum utilizador com o login=xpto, 1 é sempre igual a 1 
Outro código que podem experimentar é:
xpto' or 1=1 limit 1#
Porquê o “limit 1″?
porque desta forma limitamos o n.º de resultados a 1.
Então mas porque é que isso é importante?
Pode ser ou não. Depende da forma como o programador está a validar o resultado da query à base de dados.
Se o programador tivesse feito qualquer coisa deste género:
// ligação à base de dados
mysql_connect("localhost", "root", "******")or die("cannot connect");
mysql_select_db("junkDB")or die("cannot select DB");
// construção da instrução sql
$sql="S_ELECT * F_ROM utilizadores WHERE login='".$_POST["utilizador"]."' and password='".$_POST["password"]."'";
// execução da instrução sql
$result=mysql_query($sql);
// variável que diz o n.º de resultados obtidos
$count=mysql_num_rows($result);
// se o n.º de resultados for igual a 1, então é porque os dados introduzidos
// no formulário são válidos. Isto é, existe um utilizador com o login e password
// iguais aos introduzidos no formulário
if($count==1) {
echo "Dados correctos!";
}
else{
echo "Dados incorrectos!";
}
com o código:
xpto' or 1=1#
Só iríamos conseguir “entrar” caso existisse apenas 1 registo na tabela utilizadores.
Bastava a tabela ter dois utilizadores para já não conseguirmos “entrar”.
Ao utilizarmos o “limit 1″ estamos a dizer que só queremos 1 registo. Logo a condição ($count==1) vai ser sempre verdadeira.
Código Necessário para simular este exemplo:
Criar a tabela “utilizadores”:
-- -- Table structure for table `utilizadores` -- C_REATE TABLE IF NOT EXISTS `utilizadores` ( `id` int(4) NOT NULL AUTO_INCREMENT, `login` varchar(65) NOT NULL DEFAULT '', `password` varchar(65) NOT NULL DEFAULT '', PRIMAR Y KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=8 ; -- -- Dumping data for table `utilizadores` -- I_NSERT INTO `utilizadores` (`id`, `login`, `password`) VALUES (1, 'gestor', '1234'), (2, 'admin', '1234');
O conteúdo do ficheiro login.php é:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Login - Security test</title>
<style type="text/css">
/*folha de estilos básica*/
*{font-family:verdana; font-size:12px; color:#333;}
form{width:400px; border:2px solid #ddd;}
form p{font-size:14px; font-weight:bold;}}
input{ border: solid 1px #ddd; background-color:#f5f5f5;}
label{font-weight:bold;}
.red{color:red;}
.green{color:green;}
#sql{ width:400px; background-color:#336699; color:white; padding:5px; margin:10px; text-align:left;}
</style>
</head>
<body>
<center>
<!-- formulário -->
<form name="form1" method="post" action="login.php?action=validateUser">
<p>Acesso Reservado</p>
<label for="username">Utilizador:</label>
<input name="utilizador" type="text" id="username" />
<br />
<label for="password">Password:</label>
<input name="password" type="password" id="password" />
<br />
<input type="submit" name="Submit" value="Login" />
</form>
<!-- // formulário -->
<?php
// "verificar" se o formulário foi submetido e validar o utilizador
if(isset($_POST["utilizador"]) && isset($_POST["password"]) ) {
// ligação à base de dados
mysql_connect("localhost", "root", "********")or die("cannot connect");
mysql_select_db("junkDB")or die("cannot select DB");
// construção da instrução sql
// notem que estou a utilizar os inputs directamente, sem qualquer tipo de validação.
$sql="S_ELECT * F_ROM utilizadores WHERE login='".$_POST["utilizador"]."' and password='".$_POST["password"]."'";
// execução da instrução sql
$result=mysql_query($sql);
// variavel que diz o n.º de resultados obtidos
$count=mysql_num_rows($result);
// se o n.º de resultados for igual a 1, então é porque os dados introduzidos
// no formulário são válidos. Isto é, existe na base de dados UM utilizador
// com o login e password iguais aos introduzidos no formulário
if($count==1) {
echo "<p class=\"green\">Dados correctos!</p>";
}
else{
echo "<p class=\"red\">Dados incorrectos!</p>";
}
echo "<div id=\"sql\"><b>SQL:</b><br>$sql</div>";
}
?>
</center>
</body>
</html>
Para quem quiser aprofundar os conhecimentos sobre este tema ficam aqui alguns links muito interessantes:
- SQL Injection Attacks by Example
- SQL Injection Cheat Sheet
- SQL Injection Walkthrough
- guide-to-php-security-ch3
- Testing for SQL Injection (OWASP-DV-005)
Notas:
- Este exemplo é muito simples e tem como objectivo apenas mostrar o que é o sql Injection.
- Relativamente ao site do meu teste, de referir que enviei um e-mail aos responsáveis pelo site a avisar dos problemas de segurança, tendo corrigido de imediato os problemas e agradecido o meu aviso. Gostei