Перехват SQL запросов SQlite 3 | Как перехватить запрос направляемый в БД

Главная — ИБ-аутсорсинг — Защита информации — Безопасность баз данных — Перехват SQL запросов SQlite 3

Системные администраторы, работающие с базами данных, часто ищут программные инструменты, перехватывающие вредоносные или некорректные SQL-запросы, направляемые от клиентских приложений к серверу. Существует несколько вариантов их перехвата. Комплексных программных решений для SQL-баз данных пока нет.

СУБД SQlite в версии 3 – небольшая встраиваемая программная оболочка, код которой находится в свободном доступе, с 2005 года, после получения престижной премии Google-O’Reilly Open Source Awards, стала одной из популярных. Из-за размеров и легкости использования ее часто применяют в разного рода комплексных продуктах, в том числе, в «1С:Предприятие». Неправомерный доступ к ней способен нарушить бизнес-процессы компании. Поэтому ее защита от SQL-инъекций становится крайне важной задачей, требующей системных и проверенных решений.

Понятие

SQL-запрос – это обращение из клиентского приложения к серверу, на котором расположена база данных, созданная на этом языке программирования. Таким обращением может быть заказ товара в интернет-магазине, обращение пользователя 1С за данными к расположенной на сервере системе, отправка студентом домашнего задания в предложенной для этого форме.

SQL-запрос используется для доступа к базе данных и управления ею. Это жестко структурированный набор инструкций – какие данные извлечь из таблиц, как и в какой последовательности представить.

Иногда обращения к БД содержат программный код (SQL-инъекцию), который может повредить, похитить или модифицировать данные. Возникает задача выявить вредоносные обращения еще до момента их поступления на сервер, отклонить и, при возможности, заблокировать IP-адрес, с которого они были отправлены. В ПО должна быть встроена функция проверки синтаксиса языка программирования и его соотношения со структурой базы. Дополнительной задачей становится подмена некорректного обращения корректным при поступлении на сервер.

Решения

Чаще всего программисты пытаются найти способ запретить писать запросы вручную, оставив только набор готовых решений. Но это нереализуемо для сложных баз данных, например, в рамках ERP- или CRM-систем. Также нереализуемо универсальное решение, которое выполнит все поставленные задачи. Набор правил, который будет выявлять только целевые атаки, а не ошибки пользователей, создать невозможно.

Существует два типа уязвимостей, которыми злоумышленники пользуются для введения неверного кода:

1. Обход решения.
2. Нечувствительность к порядку нолей в команде SELECT.

В небольших базах проблему решают с помощью словарей допустимых значений, благодаря которым выявляют и отклоняют недопустимые фразы. Для баз с большим количеством данных принцип словарей не подходит – работа по их созданию и доработке требует слишком много времени. Поэтому в больших БД используется синтаксический анализ.

Еще одно решение – создание теневой (дублирующей) базы данных, схожей по структуре с настоящей, к которой после перехвата будет отправлен перехваченный запрос, оказавшийся некорректным. Там он уничтожается, при этом системные администраторы могут проанализировать, кто и с какой целью направлял некорректные обращения.

Реализовать эту модель можно в фреймворке Django (Python-Django-JS-HTML-CSS). Решение повышает уровень безопасности информационной системы в целом:

защищает от межсайтового скриптинга;
защищает от подделки межсайтового обращения;
защищает от SQL-инъекций;
защищает от перехвата данных;
проверяет заголовок хоста.

Платформа также помогает решить проблему уязвимости при соединении с СУБД системных администраторов, имеющих допуск, но не имеющих достаточной квалификации для написания корректных обращений. К компрометации БД может привести ошибка пользователя с правами на модификацию или удаление данных. Эта задача частично решается перехватом всех запросов, в которых не используется команда SELECT.

Из более простых вариантов предлагается использовать:

фильтр, схожий с теми, которые нужны для блокировки спама. Он блокирует IP-адреса, с которых отправляются команды, схожие по признакам с инъекциями. «Черный список» адресов должен регулярно обновляться с учетом возможного использования динамических IP-адресов;
механизм подсчета количества инструкций в одной командной строке. Если больше, чем требуется, то обращение будет признано инъекцией и заблокируется. Например, разрешен только SELECT, а строка содержит также CREATE USER;
анализ частотности запросов. Например, если с одного IP-адреса разрешено отправлять только 100 обращений, а поступило 200, «лишние» заблокируются.

Большинство названных решений реализуются по отдельности. Это связано с тем, что мало кто готов создавать полноценную программу для перехвата некорректных запросов. Они не являются наиболее значимым типом угроз для баз данных. А тратить силы и средства для борьбы с незначительными рисками компаниям невыгодно.

Контроль активности пользователей и анализ изменений в базах данных можно провести с помощью «СёрчИнформ Database Monitor». Бесплатный тест на 30 дней.

25.08.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.

Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.

Давая настоящее согласие, я подтверждаю, что:

действую свободно, своей волей и в своих интересах;
являюсь дееспособным;
настоящее согласие является конкретным, информированным и сознательным;
ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.

Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.

Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:

Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.