Artigo publicado na MSDN Magazine 12

Clique aqui para ler todos os artigos desta edi��o

SEGURAN�A DE DADOS
Acabe com os ataques de inje��o de SQL antes que eles acabem com voc�

por Paul Litwin

Este artigo discute

Este artigo usa as seguintes tecnologias:

� Como trabalhar com ataques de inje��o de SQL

� Testes e vulnerabilidades

� Valida��o de entrada de usu�rio

� Usando recursos do .NET para previnir ataques

� Import�ncia de tratar Exceptions

ASP.NET, C#, SQL

Download:

SQLInjection.exe (153KB)

Chap�u

ASP.NET

Armado com tecnologias avan�adas de servidor como ASP.NET e poderosos servidores de bancos de dados como o Microsoft� SQL Server�, os desenvolvedores s�o capazes de criar Web sites din�micos comandados por dados com incr�vel facilidade. Mas o poder do ASP.NET e do SQL podem facilmente ser usados contra voc� pelos hackers, montando uma classe muito comum de ataque: a inje��o de SQL.

A id�ia b�sica por tr�s de um ataque por inje��o de SQL � a seguinte: voc� cria uma p�gina Web que permite que o usu�rio entre com texto em uma caixa de texto que ser� usada para executar uma consulta no banco de dados. O hacker insere uma instru��o SQL malformada no textbox que altera a natureza da consulta, de modo que ser� usada para invadir, alterar ou danificar o banco de dados remoto. Como isso � poss�vel? Vou ilustrar com um exemplo.

Bom SQL que se torna ruim

Mutos aplicativos do ASP.NET usam um formul�rio como o mostrado na Listagem 1 para autenticar os usu�rios. Quando o usu�rio clicar no bot�o Login de BadLogin.aspx, o m�todo cmdLogin_Click tentar� autenticar o usu�rio executando uma consulta que contar� o n�mero de registros presentes na tabela Users, onde UserName e Password corresponder�o aos valores que o usu�rio tiver inserido nos controles textbox do formul�rio.

Listagem 1 BadLogin.aspx.cs

private void cmdLogin_Click(object sender, System.EventArgs e) {

string strCnx =

"server=localhost;database=northwind;uid=sa;pwd=;";

SqlConnection cnx = new SqlConnection(strCnx);

cnx.Open();

//Este c�digo � suscet�vel a ataques de inje��o SQL

string strQry = "SELECT Count(*) FROM Users WHERE UserName='" +

txtUser.Text + "' AND Password='" +

txtPassword.Text + "'";

int intRecs;

SqlCommand cmd = new SqlCommand(strQry, cnx);

intRecs = (int) cmd.ExecuteScalar();

if (intRecs>0) {

FormsAuthentication.RedirectFromLoginPage(txtUser.Text, false);

}

else {

lblMsg.Text = "Login attempt failed.";

}

cnx.Close();

}

Na maioria dos casos, o formul�rio funciona exatamente como o esperado. Um usu�rio insere um nome e uma senha que correspondam a um registro na tabela Users. � usada uma consulta SQL gerada dinamicamente para ler o n�mero de linhas correspondentes. O usu�rio � ent�o autenticado e redirecionado � p�gina requisitada. Os usu�rios que n�o inserirem nome e/ou senha v�lidos n�o ser�o autenticados. Contudo, aqui tamb�m � poss�vel que um hacker insira o seguinte texto aparentemente inofensivo na textbox UserName para conseguir entrar no sistema sem ter que conhecer um nome e uma senha v�lidos:

' Or 1=1 --

O hacker invade o sistema injetando SQL malformado na consulta. Essa invas�o espec�fica funciona porque a consulta executada � formada pela concatena��o de uma string fixa e valores inseridos pelo usu�rio, como mostrado a seguir:

string strQry = "SELECT Count(*) FROM Users WHERE UserName='" +

txtUser.Text + "' AND Password='" +

txtPassword.Text + "'";

No caso de o usu�rio inserir um nome de usu�rio v�lido igual a "Paul" e uma senha igual a "password", o strQry ser�:

SELECT Count(*) FROM Users WHERE UserName='Paul' AND Password='password'

Mas se o hacker inserir

Or 1=1 --

a consulta agora ser�:

SELECT Count(*) FROM Users WHERE UserName='' Or 1=1 --' AND Password=''

Como um par de h�fens indica o in�cio de um coment�rio no SQL, a consulta passa a ser somente:

SELECT Count(*) FROM Users WHERE UserName='' Or 1=1

A express�o 1=1 � sempre verdadeira para todas as linhas da tabela e uma express�o verdadeira unida por um OR a outra, com outra express�o, retornar� sempre verdadeiro. Ent�o, supondo que h� pelo menos uma linha da tabela Users, esse SQL sempre retornar� uma contagem de registros diferente de zero.

Nem todos os ataques por inje��o de SQL envolvem a autentica��o de formul�rios. Tudo o que � preciso � um aplicativo com algum SQL constru�do dinamicamente e uma inser��o de dados por um usu�rio n�o confi�vel. Dadas as condi��es corretas, a extens�o dos danos causados por esse tipo de ataque pode ser limitada somente pela extens�o do conhecimento do hacker sobre a linguagem SQL e a configura��o do banco de dados.

Agora analise o c�digo mostrado na Listagem 2, tirado de BadProductList.aspx. Esta p�gina exibe produtos do banco de dados Northwind e permite que os usu�rios filtrem a lista resultante de produtos usando um textbox chamado txtFilter. Como no �ltimo exemplo, a p�gina est� pronta para ataques de inje��o de SQL porque o SQL executado � constru�do dinamicamente a partir de um valor inserido pelo usu�rio. Esta p�gina em particular � o para�so dos hackers porque pode ser seq�estrada pelo hacker astuto para revelar informa��es secretas, alterar dados no banco de dados, danificar os controles do banco de dados e at� mesmo criar novas contas de usu�rio do banco de dados.

Listagem 2 BadProductList.aspx.cs

private void cmdFilter_Click(object sender, System.EventArgs e) {

dgrProducts.CurrentPageIndex = 0;

bindDataGrid();

}

private void bindDataGrid() {

dgrProducts.DataSource = createDataView();

dgrProducts.DataBind();

}

private DataView createDataView() {

string strCnx =

"server=localhost;uid=sa;pwd=;database=northwind;";

string strSQL = "SELECT ProductId, ProductName, " +

"QuantityPerUnit, UnitPrice FROM Products";

//Este c�digo � suscet�vel a ataques de inje��o SQL

if (txtFilter.Text.Length > 0) {

strSQL += " WHERE ProductName LIKE '" +

txtFilter.Text + "'";

}

SqlConnection cnx = new SqlConnection(strCnx);

SqlDataAdapter sda = new SqlDataAdapter(strSQL, cnx);

DataTable dtProducts = new DataTable();

sda.Fill(dtProducts);

return dtProducts.DefaultView;

}

A maioria dos bancos de dados compat�veis com SQL, inclusive o SQL Server, armazena metadados em uma s�rie de tabelas de sistema com os nomes sysobjects, syscolumns, sysindexes, e assim por diante. Isto significa que um hacker poderia usar as tabelas do sistema para conseguir informa��es do esquema de um banco de dados, para ajudar no posterior comprometimento do banco de dados. Por exemplo, o texto inserido na textbox txtFilter poderia ser usado para revelar os nomes das tabelas de usu�rios do banco de dados:

' UNION SELECT id, name, '', 0 FROM sysobjects WHERE xtype ='U' --

A instru��o UNION, especificamente � �til para um hacker porque permite que ele re�na os resultados da consulta. Neste caso, o hacker uniu os nomes das tabelas de usu�rio do banco de dados � consulta original da tabela Products. O �nico truque � combinar o n�mero e os datatypes das colunas com os da consulta original. A consulta anterior poderia revelar que h� uma tabela chamada Users no banco de dados. Uma Segunda consulta poderia revelar as colunas da tabela Users. Com essas informa��es, o hacker poderia inserir o seguinte na textbox txtFilter:

' UNION SELECT 0, UserName, Password, 0 FROM Users --

A inser��o desta consulta revela os nomes e as senhas dos usu�rios constantes na tabela Users, como mostrado na Figura 1.

Figura 1 Consulta � tabela Users

Os ataques por inje��o de SQL tamb�m podem ser usados para alterar dados ou danificar o banco de dados. O hacker da inje��o de SQL pode inserir no textbox txtFilter para alterar o pre�o do primeiro produto de $18 para $0.01 e depois comprar rapidamente algumas caixas do produto antes que algu�m note o que aconteceu:

'; UPDATE Products SET UnitPrice = 0.01 WHERE ProductId = 1--

Essa altera��o funciona porque o SQL Server permite que voc� re�na numa string v�rias instru��es SQL separadas por um ponto-e-v�rgula ou um espa�o. Neste exemplo, o DataGrid n�o apresenta coisa alguma, mas a consulta de atualiza��o � executada com sucesso. Essa mesma t�cnica pode ser usada para executar uma instru��o DROP TABLE ou para executar uma stored procedure de sistema que criasse uma nova conta de usu�rio e acrescentasse aquele usu�rio ao papel de sysadmin. Todas essas invas�es s�o poss�veis com a p�gina BadProductList.aspx mostrada na Listagem 2.

Igualdade nas oportunidades de invas�o

� importante entender que os ataques por inje��o de SQL n�o se limitam ao SQL Server. Outros bancos de dados, incluindo Oracle, MySQL, DB2, Sybase e outros, s�o suscept�veis a esse tipo de ataque. Os ataques por inje��o de SQL s�o poss�veis porque a linguagem SQL cont�m diversos recursos que os tornam bastante poderosos e flex�veis. S�o eles:

� A possibilidade de incorporar coment�rios em uma instru��o SQL usando um par de h�fens

� A possibilidade de unir em uma string v�rias instru��es SQL e de execut�-las em lote

� A possibilidade de usar o SQL para consultar metadados a partir de um conjunto padr�o de tabelas de sistema

Geralmente, quanto mais poderoso o dialeto do SQL suportado pelo banco de dados, mais suscept�vel a ataques ser� esse banco de dados. Assim, n�o � de surpreender que o SQL Server seja um alvo t�o conhecido dos ataques por inje��o.

Os ataques por inje��o de SQL n�o se limitam aos aplicativos do ASP.NET. Aplicativos comuns em ASP, Java, JSP e PHP tamb�m correm o mesmo risco. Na verdade, os ataques de inje��o de SQL podem ser efetuados tamb�m contra aplicativos no computador local. Por exemplo, inclu� nos arquivos para download deste arquivo um exemplo de aplicativo do Windows� Forms chamado SQLInjectWinForm, que tamb�m � suscept�vel aos ataques de inje��o de SQL.

Embora seja f�cil apontar uma ou outra medida b�sica para evitar os ataques de inje��o de SQL, � melhor atacar o problema adotando um m�todo em n�veis. Assim, se uma de suas medidas for contornada devido a alguma vulnerabilidade, voc� ainda estar� protegido. Os n�veis recomendados est�o resumidos na Tabela 1.

Tabela 1 Evitando ataques de inje��o de SQL

Princ�pio	Implementa��o
Nunca confiar nas informa��es do usu�rio	Valide todas as entradas de textbox atrav�s de controles de valida��o, express�es regulares, c�digo, e assim por diante
Nunca use SQL din�mico	Use SQL parametrizado ou procedimentos armazenados
Nunca conecte a um banco de dados com uma conta de n�vel de administrador	Use uma conta de acesso limitado para conectar-se ao banco de dados
N�o armazene segredos em texto puro	Criptografe ou codifique por hash senhas e outros dados secretos; voc� deve criptografar tamb�m as strings de conex�o
As exce��es devem divulgar o m�nimo de informa��es	N�o revele informa��es demais nas mensagens de erro; use customErrors para exibir informa��es m�nimas no caso de um erro n�o tratado; defina o valor de debug com false

Toda inser��o � maligna

O primeiro princ�pio relacionado na Tabela 1 � extremamente importante: parta do princ�pio de que toda inser��o de dados � maligna! Nunca se deve usar inser��es de dados do usu�rio em uma consulta ao banco de dados. Os controles de valida��o do ASP.NET, especialmente o controle RegularExpressionValidator, s�o boas ferramentas de valida��o de inser��o de dados.

H� dois m�todos b�sicos de valida��o: n�o permitir a inser��o de caracteres problem�ticos ou permitir somente um pequeno n�mero de caracteres necess�rios. Embora voc� possa facilmente negar permiss�o a alguns caracteres problem�ticos, tais como o h�fen e p ap�strofo, esse m�todo � pouco eficaz por dois motivos: primeiro, voc� pode esquecer algum caractere que poderia ser �til aos hackers e, segundo, geralmente h� mais de uma maneira de representar um caractere perigoso. Por exemplo, um hacker pode ser capaz de escapar um ap�strofo de modo que seu c�digo de valida��o n�o o pegue e passe ao banco de dados, que o tratar� como um caractere de ap�strofo. Um m�todo melhor � identificar os caracteres permitidos e permitir somente esses caracteres. Este m�todo exige mais trabalho, mas garante um controle muito mais forte sobre as inser��es e � mais seguro. Independente do m�todo adotado, tamb�m ser� conveniente limitar o comprimento da inser��o, porque algumas invas�es exigem um n�mero grande de caracteres.

O arquivo GoodLogin.aspx (dispon�vel para download) cont�m dois controles de valida��o de express�es, uma para o nome do usu�rio e outra para a senha, com o seguinte valor de ValidationExpression que limita entradas a um n�mero de d�gitos entre 4 e 12 caracteres, alfab�ticos, e o sublinhado:

[\d_a-zA-Z]{4,12}

Talvez voc� tenha que permitir que o usu�rio insira caracteres potencialmente perigosos em um textbox. Por exemplo, os usu�rios podem inserir um ap�strofo como parte do nome de uma pessoa. Nesses casos, voc� pode tornar esse ap�strofo inofensivo usando uma express�o regular ou o m�todo String.Replace para substituir cada inst�ncia do ap�strofo por aspas. Por exemplo:

string strSanitizedInput = strInput.Replace("'", "''");

Evite SQL din�mico

Todos os ataques por inje��o de SQL que demonstrei neste artigo dependem da execu��o de instru��es SQL din�micas, constru�das pela concatena��o de SQL com valores inseridos pelo usu�rio. O emprego de SQL parametrizado, no entanto, reduz bastante a capacidade do hacker de injetar SQL no c�digo.

O c�digo apresentado na Listagem 3 emprega SQL parametrizado para impedir os ataques por inje��o. SQL parametrizado � excelente se voc� absolutamente precisar usar SQL ad hoc. Isso poder� ser necess�rio se o seu departamento de TI n�o acreditar em stored procedures ou usar um produto como o MySQL, que n�o os suportava at� a vers�o 5.0. Se for poss�vel, no entanto, voc� dever� usar stored procedures para ter o recurso adicional de remover todas as permiss�es das tabelas b�sicas no banco de dados e, assim, remover a capacidade de criar consultas como as mostradas na Figura 1. O arquivo BetterLogin.aspx, mostrado na Listagem 4, usa uma stored procedure, procVerifyUser, para validar usu�rios.

Listagem 3 GoodLogin.aspx.cs

private void cmdLogin_Click(object sender, System.EventArgs e) {

string strCnx = ConfigurationSettings.AppSettings["cnxNWindBad"];

using (SqlConnection cnx = new SqlConnection(strCnx))

{

SqlParameter prm;

cnx.Open();

string strQry =

"SELECT Count(*) FROM Users WHERE UserName=@username " +

"AND Password=@password";

int intRecs;

SqlCommand cmd = new SqlCommand(strQry, cnx);

cmd.CommandType= CommandType.Text;

prm = new SqlParameter("@username",SqlDbType.VarChar,50);

prm.Direction=ParameterDirection.Input;

prm.Value = txtUser.Text;

cmd.Parameters.Add(prm);

prm = new SqlParameter("@password",SqlDbType.VarChar,50);

prm.Direction=ParameterDirection.Input;

prm.Value = txtPassword.Text;

cmd.Parameters.Add(prm);

intRecs = (int) cmd.ExecuteScalar();

if (intRecs>0) {

FormsAuthentication.RedirectFromLoginPage(txtUser.Text, false);

}

else {

lblMsg.Text = "Login attempt failed.";

}

Listagem 4 BetterLogin.aspx.cs

private void cmdLogin_Click(object sender, System.EventArgs e) {

string strCnx =

ConfigurationSettings.AppSettings["cnxNWindBetter"];

using (SqlConnection cnx = new SqlConnection(strCnx))

{

SqlParameter prm;

cnx.Open();

string strAccessLevel;

SqlCommand cmd = new SqlCommand("procVerifyUser", cnx);

cmd.CommandType= CommandType.StoredProcedure;

prm = new SqlParameter("@username",SqlDbType.VarChar,50);

prm.Direction=ParameterDirection.Input;

prm.Value = txtUser.Text;

cmd.Parameters.Add(prm);

prm = new SqlParameter("@password",SqlDbType.VarChar,50);

prm.Direction=ParameterDirection.Input;

prm.Value = txtPassword.Text;

cmd.Parameters.Add(prm);

strAccessLevel = (string) cmd.ExecuteScalar();

if (strAccessLevel.Length>0) {

FormsAuthentication.RedirectFromLoginPage(txtUser.Text, false);

}

else {

lblMsg.Text = "Login attempt failed.";

}

Execute com o m�nimo de privil�gios

Uma das pr�ticas ruins demonstradas em BadLogin.aspx e BadProductList.aspx � o uso se uma string de conex�o que usa a conta sa. Esta � a string de conex�o, que se encontra no Web.config:

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Assista grátis a nossa aula inaugural

Perguntas frequentes

Quem somos?

Por que a programação se tornou a profissão mais promissora da atualidade?

Como faço para começar a estudar?

Em quanto tempo de estudo vou me tornar um programador?

Sim, você pode se tornar um programador e não precisa ter diploma de curso superior!

O que eu irei aprender estudando pela DevMedia?

Principais diferenciais da DevMedia

Qual o investimento financeiro que preciso fazer para me tornar um programador?

Como funciona a forma de pagamento da DevMedia?

Por Paul Em 2009

Nossos casos de sucesso

Leonardo Carlos

Eu sabia pouqu�ssimas coisas de programa��o antes de come�ar a estudar com voc�s, fui me especializando em v�rias �reas e ferramentas que tinham na plataforma, e com essa bagagem consegui um est�gio logo no in�cio do meu primeiro per�odo na faculdade.

Lucas Rodrigues

Estudo aqui na Dev desde o meio do ano passado! Nesse per�odo a Dev me ajudou a crescer muito aqui no trampo.
Fui o primeiro desenvolvedor contratado pela minha empresa. Hoje eu lidero um time de desenvolvimento!
Minha meta � continuar estudando e praticando para ser um Full-Stack Dev!

Her�clito J�nior

Economizei 3 meses para assinar a plataforma e sendo sincero valeu muito a pena, pois a plataforma � bem intuitiva e muuuuito did�tica a metodologia de ensino. Sinto que estou EVOLUINDO a cada dia. Muito obrigado!

Julio Cablen

Nossa! Plataforma maravilhosa. To amando o curso de desenvolvimento front-end, tinha coisas que eu ainda n�o tinha visto. A did�tica � do jeito que qualquer pessoa consegue aprender. S�rio, to apaixonado, adorando demais.

Joelberth Sena

Adquiri o curso de voc�s e logo percebi que s�o os melhores do Brasil. � um passo a passo incr�vel. S� n�o aprende quem n�o quer. Foi o melhor investimento da minha vida!

Felipe Nunes

Foi um dos melhores investimentos que j� fiz na vida e tenho aprendido bastante com a plataforma. Voc�s est�o fazendo parte da minha jornada nesse mundo da programa��o, irei assinar meu contrato como programador gra�as a plataforma.

Wanderson Oliveira

Comprei a assinatura tem uma semana, aprendi mais do que 4 meses estudando outros cursos. Exerc�cios pr�ticos que n�o tem como n�o aprender, est�o de parab�ns!

Jos� Lucas

Obrigado DevMedia, nunca presenciei uma plataforma de ensino t�o presente na vida acad�mica de seus alunos, parab�ns!

Eduardo Dorneles

Aprendi React na plataforma da DevMedia h� cerca de 1 ano e meio... Hoje estou h� 1 ano empregado trabalhando 100% com React!

Adauto Junior

J� fiz alguns cursos na �rea e nenhum � t�o bom quanto o de voc�s. Estou aprendendo muito, muito obrigado por existirem. Est�o de parab�ns... Espero um dia conseguir um emprego na �rea.

Ver todos os casos de sucesso

Artigo publicado na MSDN Magazine 12 - SEGURAN�A DE DADOS

Publicado na MSDN Magazine 12 -Acabe com os ataques de inje��o de SQL antes que eles acabem com voc�.

Confira outros conte�dos:

Teste unit�rio com NUnit

Como migrar projetos do ASP.NET MVC...

Crie relat�rios com o Stimulsoft...

Perguntas frequentes

Nossos casos de sucesso