skip to main | skip to sidebar
Code 18
Manuel du savoir-faire à l'usage des geeks et des curieux
RSS
  • Accueil
  • Le web au Québec
  • Liens
  • Twitter
  • Facebook
  • À propos
lundi 20 avril 2009

Injection sur PostgreSQL

Publié par Infinite Loop, à 20 h 17 0 commentaire

Prenons une page vulnérable au SQL Injection, par exemple le code PHP suivant :

$id = $_GET['id']; // mauvais!

$dbh = new PDO("pgsql:host=localhost;dbname=database", "username", "password");
$sql = 'SELECT * FROM command WHERE command_id = ' . $id;

foreach($dbh->query($sql) as $row) {
    echo $row['client_name'] . '\n';
}
Comme la valeur $id est concaténée à la requête SQL sans même vérifier le type ni utiliser de placeholders, on peut exploiter cette faille pour extraire de l'information utile pour pratiquer une attaque en règle.

Pour valider que le site repose sur la base de données Postgre, il suffit d'ajouter à la suite de la query string une condition en utilisant l'opérateur :: (cast) qui convertit la valeur en nombre entier (par exemple) et qui évalue l'équivalence pour donner une condition vraie. Ici, on veut qu'elle soit positive pour que l'enregistrement soit quand même retourné et que l'affichage se fasse normalement.

page.php?id=100 AND 1::int = 1--

Si aucune erreur ne se produit, c'est que PostgreSQL est utilisé puisque cette syntaxe lui est propre. Ensuite, on peut tentez une autre requête pour connaître la version installée. L'idée est de créer un enregistrement supplémentaire qui s'affichera dans la page, suite à une boucle par exemple :

page.php?id=100 UNION ALL SELECT null, version();--

Le truc est de deviner le nombre de champs retournés par la requête, de substituer une valeur nulle pour chacun et de s'arranger pour que la valeur à extraire se retrouve au sein d'un champ varchar. Une fois le bon pattern découvert pour le recordset à retourner, on peut facilement extraire :
  • le nom de la base de données : current_database()
  • le nom d'utilisateur : utiliser la constante current_user ou la fonction getpgusername()
Ainsi, en obtenant le nom de la base de données, on aurait la voie libre pour effectuer diverses manipulations néfastes, la pire étant probablement un DROP DATABASE...

Rappelez-vous de toujours vérifier les paramètres reçus. Dans mon exemple PHP, une simple vérification de la valeur de $_GET['id'] avec is_numeric() aurait été suffisant pour contrer ce type d'injection. Une autre protection possible serait d'attribuer des droits restreints à l'utilisateur qui se connecte par le web. On peut alors limiter les dégâts...


Tags: PostgreSQL, Sécurité

0 réponse à "Injection sur PostgreSQL"


Publier un commentaire

Message plus récent Messages plus anciens Accueil
S'abonner à : Publier des commentaires (Atom)
    Suivre @code18 sur Twitter

    Catégories

    • Apache (21)
    • Citations (167)
    • Club Vidéo (24)
    • Coffre à outils (56)
    • CSS (8)
    • Curiosités (117)
    • Design Pattern (2)
    • Drupal (8)
    • Easter Eggs (22)
    • Extensions Firefox (20)
    • GIMP (7)
    • Histoire (21)
    • HTML (32)
    • Humour (57)
    • Intégration (34)
    • iPod (12)
    • JavaScript (110)
    • Jeu de combat (6)
    • Le coin du geek (128)
    • Liens (12)
    • Linux (56)
    • Livres (78)
    • Lois et principes (46)
    • Marché des saveurs (26)
    • Mathématique (18)
    • Mobile (5)
    • Montréal (32)
    • Musique (112)
    • Pancartes et écriteaux (16)
    • Perl (8)
    • Pérou (1)
    • PHP (130)
    • PostgreSQL (44)
    • Programmation (105)
    • Saviez-vous que (55)
    • Sécurité (22)
    • SEO (5)
    • SQL Server (22)
    • Vieilles publicités (6)
    • Virtualisation (8)
    • Voyages (1)
    • Zend Framework (26)

    Divers

    Archives

    • ►  2015 (6)
      • ►  août 2015 (1)
      • ►  juillet 2015 (1)
      • ►  février 2015 (3)
      • ►  janvier 2015 (1)
    • ►  2014 (8)
      • ►  décembre 2014 (1)
      • ►  novembre 2014 (1)
      • ►  octobre 2014 (1)
      • ►  août 2014 (2)
      • ►  juillet 2014 (2)
      • ►  janvier 2014 (1)
    • ►  2013 (53)
      • ►  décembre 2013 (2)
      • ►  novembre 2013 (1)
      • ►  octobre 2013 (3)
      • ►  septembre 2013 (2)
      • ►  août 2013 (5)
      • ►  juillet 2013 (3)
      • ►  juin 2013 (5)
      • ►  mai 2013 (3)
      • ►  avril 2013 (7)
      • ►  mars 2013 (7)
      • ►  février 2013 (11)
      • ►  janvier 2013 (4)
    • ►  2012 (105)
      • ►  décembre 2012 (8)
      • ►  novembre 2012 (5)
      • ►  octobre 2012 (4)
      • ►  septembre 2012 (1)
      • ►  août 2012 (8)
      • ►  juillet 2012 (7)
      • ►  juin 2012 (7)
      • ►  mai 2012 (10)
      • ►  avril 2012 (13)
      • ►  mars 2012 (15)
      • ►  février 2012 (15)
      • ►  janvier 2012 (12)
    • ►  2011 (146)
      • ►  décembre 2011 (14)
      • ►  novembre 2011 (11)
      • ►  octobre 2011 (12)
      • ►  septembre 2011 (13)
      • ►  août 2011 (15)
      • ►  juillet 2011 (17)
      • ►  juin 2011 (18)
      • ►  mai 2011 (15)
      • ►  avril 2011 (9)
      • ►  mars 2011 (7)
      • ►  février 2011 (3)
      • ►  janvier 2011 (12)
    • ►  2010 (398)
      • ►  décembre 2010 (29)
      • ►  novembre 2010 (28)
      • ►  octobre 2010 (32)
      • ►  septembre 2010 (34)
      • ►  août 2010 (22)
      • ►  juillet 2010 (35)
      • ►  juin 2010 (42)
      • ►  mai 2010 (36)
      • ►  avril 2010 (37)
      • ►  mars 2010 (34)
      • ►  février 2010 (32)
      • ►  janvier 2010 (37)
    • ▼  2009 (430)
      • ►  décembre 2009 (32)
      • ►  novembre 2009 (34)
      • ►  octobre 2009 (33)
      • ►  septembre 2009 (37)
      • ►  août 2009 (37)
      • ►  juillet 2009 (39)
      • ►  juin 2009 (38)
      • ►  mai 2009 (37)
      • ▼  avril 2009 (35)
        • Coeur de pirate
        • Photos des développeurs d'OpenOffice
        • Audiotool, studio musical en Flash
        • Compresser TinyMCE
        • Compression HTTP avec GZip
        • Citation no. 27 sur les geeks
        • Compter sur ses doigts
        • Disque dur externe
        • Cocher toutes les cases d'un formulaire
        • Plugin mp3 Fluendo sur Fedora
        • Ajouter du support mp3 à Fedora 10
        • Injection sur PostgreSQL
        • Préférer la balise button à un bouton de formulaire
        • Citation no. 26 sur les logiciels gratuits
        • Écrire du texte à l'envers
        • Amazon = rapide !
        • Amazon.ca en français
        • Centrer un objet dans la page en CSS
        • La fonction PHP la moins utilisée
        • PHP CLI
        • Filtrer une liste de fichiers avec glob
        • Image style Polaroid avec ImageMagick
        • Citation no. 25 sur le langage de programmation pa...
        • Plugin jQuery pour upload de fichiers multiples
        • Comparer des fichiers avec Dreamweaver
        • Compatibilité Internet Explorer 8
        • Temps de chargement d'une page web
        • Installer APC sur Windows
        • Encore une fois Vidéotron...
        • Shazam et SnapTell
        • Citation no. 24 sur le parachutisme
        • Définir une séquence PostgreSQL
        • Pro PHP
        • J is null dans Prototype
        • Poisson d'avril 2009
      • ►  mars 2009 (37)
      • ►  février 2009 (32)
      • ►  janvier 2009 (39)
    • ►  2008 (84)
      • ►  décembre 2008 (34)
      • ►  novembre 2008 (39)
      • ►  octobre 2008 (11)

    Abonnés

Copyright © All Rights Reserved. Code 18 | Converted into Blogger Templates by Theme Craft