PrepBro
← Назад к вопросам

Что такое SQL-инъекция? Как её тестировать?

1.0 Junior🔥 251 комментариев
#Базы данных и SQL

Комментарии (1)

🐱
deepseek-v3.2PrepBro AI7 апр. 2026 г.(ред.)

Ответ сгенерирован нейросетью и может содержать ошибки

Что такое SQL-инъекция?

SQL-инъекция (SQL Injection) — это один из наиболее опасных и распространенных видов атак на веб-приложения, который заключается во внедрение вредоносного SQL-кода через пользовательский ввод (например, формы, параметры URL, API запросы). Эта атака позволяет злоумышленнику манипулировать базой данных, выполняя произвольные SQL-запросы, которые могут привести к:

  • Чтению, изменению или удалению данных (включая конфиденциальную информацию).
  • Обходу механизмов авторизации (например, вход в систему без пароля).
  • Выполнению административных операций на базе данных (DROP TABLE, изменение схемы).

Уязвимость возникает, когда приложение не выполняет должную валидацию и экранирование пользовательского ввода, конкатенируя его напрямую в SQL-запрос. Например, вместо использования параметризованных запросов (prepared statements), код формирует запрос "вручную":

-- Оригинальный запрос для авторизации
SELECT * FROM users WHERE username = '$username' AND password = '$password'

Если злоумышленник введет в поле username значение admin' --, запрос превратится в:

SELECT * FROM users WHERE username = 'admin' -- ' AND password = '$password'

Комментарий -- отсекает проверку пароля, позволяя войти как администратор.

Как тестировать SQL-инъекцию?

Тестирование SQLอินъекции — критическая часть пентеста (тестирования на безопасность) и аудита безопасности. Методы включают ручное тестирование, использование автоматизированных инструментов и анализ кода.

1. Ручное тестирование через пользовательский ввод

Основной подход — ввод специфичных тестовых строк (payloads) в все возможные поля приложения (формы, параметры GET/POST, заголовки). Цель — вызвать ошибку базы данных, неожиданное поведение или изменение данных.

Примеры payloads для ручного тестирования:

  • Базовая инъекция: ', ", ' OR '1'='1
  • Для проверки типа БД:
    * MySQL: `' AND SLEEP(5) --`
    * PostgreSQL: `' AND pg_sleep(5) --`
  • Для вывода информации: ' UNION SELECT null, version(), null --
  • Blind Injection (инъекция без прямой отдачи данных): ' AND 1=1 -- vs ' AND 1=2 -- для проверки логического воздействия.

Процесс:

  • Идентифицировать все точки ввода: формы, URL-параметры (?id=1), API endpoints.
  • Вводить payloads и анализировать ответ:
    * Сообщения об ошибках SQL (например, "Syntax error near '...").
    * Различия в ответах при `1=1` и `1=2`.
    * Неожиданные данные в ответе (слияние через UNION).
  • Проверить различные контексты: строковые значения, числовые параметры, параметры LIKE, ORDER BY.

2. Использование автоматизированных инструментов

Инструменты сканируют уязвимости массово, экономя время. Они автоматически отправляют сотни payloads и анализируют ответы.

Популярные инструменты:

  • sqlmap: Мощный инструмент для автоматического обнаружения и эксплуатации SQL-инъекций.
# Пример запуска sqlmap для тестирования параметра id
sqlmap -u "http://example.com/page?id=1" --batch
  • Burp Suite: Профессиональный набор для пентеста, включающий сканер уязвимостей и ручные инструменты для отправки модифицированных запросов.
  • OWASP ZAP: Открытый инструмент для автоматического и ручного тестирования безопасности.

Важно: Автоматические инструменты могут вызывать нагрузку на БД или изменять данные, поэтому их используют осторожно, часто в тестовых окружениях.

3. Анализ кода (Code Review)

Статический анализ кода — эффективный метод профилактики. QA Engineer может участвовать в ревью кода, особенно в участках, связанных с БД.

Ключевые точки для анализа:

  • Проверить использование параметризованных запросов (prepared statements) вместо конкатенации строк.
// ПРАВИЛЬНО: параметризованный запрос (Java пример)
String sql = "SELECT * FROM users WHERE email = ?";
PreparedStatement stmt = connection.prepareStatement(sql);
stmt.setString(1, userEmail);

// НЕПРАВИЛЬНО: конкатенация (риск инъекции)
String sql = "SELECT * FROM users WHERE email = '" + userEmail + "'";
  • Убедиться в использовании ORM (Object-Relational Mapping) с безопасными методами (например, Hibernate Criteria API).
  • Проверить валидацию и санацию (escaping) входных данных, если параметризованные запросы невозможны (в редких случаях).

4. Тестирование Blind SQL Injection

Когда приложение не выводит ошибки SQL или данные напрямую, используют методы Blind Injection:

  • Time-based: Используют функции, вызывающие задержку (например, SLEEP()), чтобы определить уязвимость по времени ответа.
  • Boolean-based: Анализируют различия в ответах (например, содержимое страницы, статус код) при истинных и ложных условиях инъекции.

Комплексный подход к тестированию SQL-инъекции:

  1. Предварительный анализ: Определить технологии приложения (БД, фреймворк) для подбора точных payloads.
  2. Поэтапное тестирование: От простых payloads (') к сложным (UNION, вызов функций).
  3. Контроль воздействия: Тестировать в изолированном окружении (например, staging), чтобы избежать повреждения реальных данных.
  4. Документация: Зафиксировать все найденные уязвимости, указать точное место, использованный payload и доказательство (например, скриншот ошибки БД).
  5. Рекомендации по исправлению: Предложить использование parameterized queries, валидации по white-list, ограничения прав БД для приложения.

SQL-инъекция остается критической угрозой, поэтому ее тестирование должно быть регулярным, системным и включать как автоматизированные, так и ручные методы для максимального покрытия. QA Engineer, занимающийся безопасностью, должен глубоко понимать не только методы тестирования, но и принципы исправления уязвимостей, чтобы давать конструктивные рекомендации разработчикам.