Как появляются левые данные в поле ip в логе nginx?

Question

[up7]

есть лог sql иньекций

123.132.123.123 - - [19/Sep/2019:04:08:47 +0200] "GET /admin/gsettings.php HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36" "';UPDATE users SET tam=1 WHERE username=\x22NameUs\x22;--,111.11.11.11"

Каким образом добавилось в Ip то, что перед нем? Перед 111.11.11.11?

иными словами, как формируется такой гет запрос? Добавляются заголовки?

Answer 1

[Борис Сёмов]

Он просто формируется, например вообще не в браузере. Соответственно, можно любые заголовки установить, любой запрос сделать, любые данные прислать.

Собственно, поэтому никогда нельзя просто так доверять данным, пришедшим со стороны пользователя. Никаким, ни полю в форме, ни http заголовку. Всё надо фильтровать.

Comments

[up7]

Это понятно. Но каким именно образом сформирован данный запрос?

[Борис Сёмов]

Да как угодно - вариантов масса. Например, с помощью wget или curl. Или с помощью проги на любом языке программирования.

Если вопрос в другом, то так составлены заголовки.
Если логирование по умолчанию включено, то последнее поле это $http_x_forwarded_for, т.е. изменён заголовок x_forwarded_for. Это можно даже в инструментах разработчика в браузере сделать, если что.

[up7]

Борис Сёмов, спасибо. Но как он вообще может что-то сделать в базе данных, если он в заголовке, а не в теле запроса?

[Руслан Федосеев]

он может сделать в том случае, если програмист не проверяет введенные данные переданные гетом )

[Борис Сёмов]

У вас в приложении информация из заголовков вполне может где-то использоваться, в частности, в запросах к базе. И вот тут-то и может случиться нежданчик. Если у вас какой-то поиск, например по ip пользователя, и вы не проверили полученные в x-forwarded-for данные, и у вас не подготовленный запрос с привязанными параметрами, то у вас готова инекция. А разработчики куда чаще забывают о проверке заголовков, чем о проверке данных в запросе, как вы только что наглядно продемонстрировали. =)