Как правильно провести sql инъекцию в данном случае?

Question

[historydev]

Добрый день. Тренируюсь в атаках и защите (первые шаги в сторону веб защиты). Пробую получить информацию с сервера форума какого-то маленького GTA 5 сервера. Работаю по этой статье. Есть ряд вопросов которые меня беспокоят и вводят в ступор:

В терминале выводится часть запроса зелёным, это означает что этот sql успешно запущен на сервере? Если так, то работает очень странно у меня - мне пришлось воткнуть 2 select и начиная с звёздочки => * начинает обрабатываться запрос почему-то, если убираю её или ставлю что-то другое туда - зелёная часть кода пропадает, но в любом случае я получаю статус 200. Однако здесь тоже есть нюанс - результат моей выборки 0 записей, видно на скриншоте ( counter: 0 ). И даже если я пишу нормальный по моему мнению запрос, то есть вот такой:

https://forum.gtavrp.ru/index.php?whats-new/posts/-1%20UNION%20SELECT%20title%20FROM%20posts%20WHERE%20id=1%20--%20

Стандартная ссылка вот такая на пост: https://forum.gtavrp.ru/index.php?whats-new/posts/.... Хоть зелёного выделения запроса нет, однако я получаю всё тот-же 200 статус + counter: 0. Я ночью буду пробовать всё тоже на своём ресурсе. Я предполагаю что возможно я не угадал название поля, но в таком случае на звёздочку (выбрать всё) => * - оно выбирало бы всё, но это не уточнено на хабре. Кстати про хабр, там упомянуты group by 1 и union, пробовал юзать group by и получать not found, однако с union работает вроде как.


На другом ресуре, более крупном, меня сразу банила система при попытке подобного запроса, это означает что текущий таргет уязвим и может быть подопытным для моего обучения?

Спасибо большое.

Answer 1

[FanatPHP]

Для защиты от SQL инъекций не нужно тренироваться в атаках.
Защита состоит из очень простых правил, которые очень несложно соблюдать.
Этим тебе и надо заняться. Если тебя действительно интересуют "первые шаги в сторону веб защиты".

Если же тебя интересует "я хачю атамстить админам этава сайта!!!111", то нет, сюда ты обратился не по адресу.

И нет, "зеленые выделения" вообще ничего не значат, а твои идеи про инъекции весьма далеки от реальности.

Comments

[historydev]

То есть по твоему мнению чел попробует самые банальные способы, скажет ОН ЖЕ СИМВАЛЫ ФЕЛЬТРУИТ!! и сольётся? Лучшая защита - это атака, мне абсолютно насрать кто держит этот форум. Мне импонриует лишь то, что меня дико заинтересовала эта тема и я хочу пробовать. В твоём ответе только последнее предложение какую-то пользу принесло, я не прошу удалить порнуху с компа, меня интересуют люди которые варятся в этом ежеднево для обсуждения в комментариях, а не посредственные ответы нацеленные туда-же, куда и ВИНДУС ПЕРЕУСТАНОВИ.

[Роман]

Владимир, тебе вроде нормально ответили - тостер не для вопросов о взломе.

[historydev]

Роман, да я просто сутки код пишу, мне не до токсика в любом его проявлении. Мы уже знакомы частично, подскажи пожалуйста куда идти чтобы выйти на нужных людей? Я хочу понять всё о процессе взлома, чтобы эффективно противостоять им в своих проектах. Я постоянно откладываю их из-за подобных дыр в знаниях. Спасибо.

[Роман]

Владимир, знаю тему весьма поверхностно. Для целей защиты обычно нанимаю специалиста.

[historydev]

Роман, у меня дикая мания котроля, я хочу владеть всеми аспектами проекта, решать любой вопрос по нему и от этого у меня плавится голова, но ничего поделать с этим не могу

[Роман]

Владимир, конкретно по инъекциям могу сказать только следующее: - в sql запрос НЕ ДОЛЖНЫ попадать любые НЕ ПРОВЕРЕННЫЕ данные из внешних источников , в том числе пришедшие от клиента. Проверку можно осуществлять разными способами. Суть проверки - точное соответствие данных заданном: типу, размеру, шаблону.

[FanatPHP]

Если тебе нужна защита, то учить надо защиту.
Голова еще не так будет плавиться, если будешь заниматься никому не нужной ерундой

[FanatPHP]

Роман, на самом деле это ерунда, которая конкретно к SQL инъекциям не имеет никакого отношения. тип размер и шаблон на любые данные не напроверяешься. Хуже того - наплодив таких проверок, скорее всего что-то пропустишь.

Умные люди давно придумали простой как валенок способ - подготовленные выражения
Вместо данных в запрос подставляется маркер, а сами данные идут отдельно.
Две строчки кода на любое количество данных, с любыми типами, размерами и шаблонами.

[Роман]

FanatPHP, я же говорю, что имею посредственное/поверхностное представление. Мне бы увидеть глазками пример того о чем вы говорите.

[Роман]

FanatPHP, и вот еще, например я выбираю в интерфейсе автора, чтобы увидеть его произведения, ID автора отправляется на сервер, а затем должен попасть в запрос. Так вот, я совершенно не представляю как сделать данный запрос, не засунув в него этот ID. Покажите/расскажите как использовать маркеры для данной ситуации?

[FanatPHP]

Роман, легко!

Те саме две строчки, о которых я говорил:
Вставка:

$stmt = $pdo->prepare("INSERT INTO forum (topic, body, author) VALUES (?,?,?)");
$stmt->execute([$topic, $body, $author]);

Получение

$stmt = $pdo->prepare("SELECT * FROM  forum WHERE id=?");
$stmt->execute([$id]);
$post = $stmt->fetch();

[Роман]

FanatPHP, ох, да. Видел такое лет 10 назад, действительно это будет решением проблемы. Просто уже давно сижу на noSQL, вот и подзабыл.

[historydev]

FanatPHP, аналогичное в node:

const {topic,body,author} = req.body;

mysql.query('insert into users set ?', {topic, body, author}, (res, err) => {})