server side web security sql injection attacks xss
play

Server-side Web Security: SQL Injection Attacks & XSS CS 161: - PowerPoint PPT Presentation

Jun 05, 2023 •284 likes •656 views

Server-side Web Security: SQL Injection Attacks & XSS CS 161: Computer Security Prof. David Wagner February 12, 2014 SQL Injection Scenario Suppose web server front end stores URL parameter recipient in variable $recipient and

  1. Server-side Web Security: SQL Injection Attacks & XSS CS 161: Computer Security Prof. David Wagner February 12, 2014

  2. SQL Injection Scenario • Suppose web server front end stores URL parameter “ recipient ” in variable $recipient and then builds up a string with the following SQL query: $sql = "SELECT AcctNum FROM Customer WHERE Balance < 100 AND Username='$recipient' "; • So for “ ?recipient=Bob ” the SQL query is: "SELECT AcctNum FROM Customer WHERE Balance < 100 AND Username='Bob' "

  3. Parse Tree for SQL Example SELECT / FROM / WHERE AcctNum AND Customer < = Balance 100 Username 'Bob' SELECT AcctNum FROM Customer WHERE Balance < 100 AND Username='Bob'

  4. SQL Injection Scenario • Suppose web server front end stores URL parameter “ recipient ” in variable $recipient and then builds up a string with the following SQL query: $sql = "SELECT AcctNum FROM Customer WHERE Balance < 100 AND Username='$recipient' "; • How can $recipient cause trouble here? – How can we see anyone’s account? • Even if their balance is >= 100

  5. SQL Injection Scenario, cont. WHERE Balance < 100 AND Username='$recipient' • Conceptual idea (doesn’t quite work): Set recipient to “ foo' OR 1=1 ” … WHERE Balance < 100 AND Username='foo' OR 1=1' • Precedence makes this: WHERE (Balance < 100 AND Username='foo') OR 1=1 • Always true!

  6. Parse Tree for SQL Injection SELECT / FROM / WHERE AcctNum Customer OR AND = < = 1 1 Balance 100 Username 'foo' SELECT AcctNum FROM Customer WHERE (Balance < 100 AND Username='foo') OR 1=1

  7. SQL Injection Scenario, cont. • Why “ foo' OR 1=1 ” doesn’t quite work: WHERE Balance < 100 AND Username='foo' OR 1=1' Syntax error : quotes aren’t balanced SQL server will reject command as ill-formed

  8. SQL Injection Scenario, cont. • Why “ foo' OR 1=1 ” doesn’t quite work: WHERE Balance < 100 AND Username='foo' OR 1=1' • Sneaky fix: use “ foo' OR 1=1 -- ” Begins SQL comment …

  9. SQL Injection Scenario, cont. • Why “ foo' OR 1=1 ” doesn’t quite work: WHERE Balance < 100 AND Username='foo' OR 1=1' • Sneaky fix: use “ foo' OR 1=1 -- ” • SQL server sees: WHERE Balance < 100 AND Username='foo' OR 1=1 --' When parsing SQL query, SQL server ignores all of this since it’s a comment … So now it finds the quotes balanced; no syntax error; successful injection !

  10. SQL Injection Scenario, con ’ t WHERE Balance < 100 AND Username='$recipient' • How about $recipient = foo '; DROP TABLE Customer -- ? • Now there are two separate SQL commands, thanks to ‘ ; ’ command- separator. • Can change database however you wish

  11. SQL Injection: Summary • Target: web server that uses a back-end database • Attacker goal: inject or modify database commands to either read or alter web-site information • Attacker tools: ability to send requests to web server (e.g., via an ordinary browser) • Key trick: web server allows characters in attacker’s input to be interpreted as SQL control elements rather than simply as data

  12. Welcome to the Amazing World Of Squigler …

  13. Some Squigler Database Tables Squigs username body time 2013-02-27 ethan My first squig! 21:51:52 2013-02-27 cathy @ethan: borrr-ing! 21:52:06 … … …

  14. def ¡post_squig(user, ¡squig): ¡ ¡ ¡ ¡ ¡if ¡not ¡user ¡or ¡not ¡squig: ¡return ¡ ¡ ¡ ¡ ¡conn ¡= ¡sqlite3.connect(DBFN) ¡ ¡ ¡ ¡ ¡c ¡ ¡ ¡ ¡= ¡conn.cursor() ¡ ¡ ¡ ¡ ¡c.executescript("INSERT ¡INTO ¡squigs ¡VALUES ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡('%s', ¡'%s', ¡datetime('now'));" ¡% ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡(user, ¡squig)) ¡ ¡ ¡ ¡ ¡conn.commit() ¡ Server code for posting a “ squig ” ¡ ¡ ¡ ¡c.close() ¡ INSERT ¡INTO ¡squigs ¡VALUES ¡ ¡(dilbert, ¡'don't ¡contractions ¡work?', ¡ ¡ ¡ ¡ ¡ ¡ ¡date); ¡ Syntax error

  15. Squigler Database Tables Accounts username password public ‘ t ’ dilbert funny ‘ f ’ alice kindacool … … …

  16. INSERT ¡INTO ¡squigs ¡VALUES ¡ ¡(dilbert, ¡ ' ' || (select (username || ' V ' || password) from accounts where username='bob') || ' ' , ¡ ¡ ¡ ¡ ¡ ¡ ¡date); ¡

  17. INSERT ¡INTO ¡squigs ¡VALUES ¡ ¡(dilbert, ¡ ' ' || (select (username || ' V ' || password) from accounts where username='bob') || ' ' , ¡ ¡ ¡ ¡ ¡ ¡ ¡date); ¡ Empty string literals

  18. INSERT ¡INTO ¡squigs ¡VALUES ¡ ¡(dilbert, ¡ ' ' || (select (username || ' V ' || password) from accounts where username='bob') || ' ' , ¡ ¡ ¡ ¡ ¡ ¡ ¡date); ¡ A blank separator, just for tidiness

  19. INSERT ¡INTO ¡squigs ¡VALUES ¡ ¡(dilbert, ¡ ' ' || (select (username || ' V ' || password) from accounts where username='bob') || ' ' , ¡ ¡ ¡ ¡ ¡ ¡ ¡date); ¡ Concatenation operator. Concatenation of string S with empty string is just S INSERT ¡INTO ¡squigs ¡VALUES ¡ ¡(dilbert, ¡ (select (username || ' V ' || password) from accounts where username='bob') , ¡ ¡ ¡ ¡ ¡ ¡ ¡date); ¡ Value of the squig will be Bob’s username and password!

  20. Defenses Defenses (work-in-progress) Language ¡support ¡for ¡construc/ng ¡queries ¡ Specify ¡query ¡structure ¡independent ¡of ¡user ¡input: ¡

  21. Defenses Defenses (work-in-progress) Language ¡support ¡for ¡construc/ng ¡queries ¡ Specify ¡query ¡structure ¡independent ¡of ¡user ¡input: ¡ ResultSet ¡getProfile(Connec9on ¡conn, ¡String ¡arg_user) ¡ { ¡ ¡ ¡ ¡ ¡String ¡query ¡= ¡"SELECT ¡AcctNum ¡FROM ¡Customer ¡WHERE ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Balance ¡< ¡100 ¡AND ¡Username ¡= ¡?"; ¡ ¡ ¡ ¡ ¡PreparedStatement ¡p ¡= ¡conn.prepareStatement(query); ¡ ¡ ¡ ¡ ¡p.setString(1, ¡arg_user); ¡ ¡ ¡ ¡ ¡return ¡p.executeQuery(); ¡ } ¡ “ Prepared Statement ”

  22. Defenses Defenses (work-in-progress) Language ¡support ¡for ¡construc/ng ¡queries ¡ Specify ¡query ¡structure ¡independent ¡of ¡user ¡input: ¡ ResultSet ¡getProfile(Connec9on ¡conn, ¡String ¡arg_user) ¡ { ¡ Untrusted user input ¡ ¡ ¡ ¡String ¡query ¡= ¡"SELECT ¡AcctNum ¡FROM ¡Customer ¡WHERE ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Balance ¡< ¡100 ¡AND ¡Username ¡= ¡?"; ¡ ¡ ¡ ¡ ¡PreparedStatement ¡p ¡= ¡conn.prepareStatement(query); ¡ ¡ ¡ ¡ ¡p.setString(1, ¡arg_user); ¡ ¡ ¡ ¡ ¡return ¡p.executeQuery(); ¡ } ¡

  23. Defenses Defenses (work-in-progress) Language ¡support ¡for ¡construc/ng ¡queries ¡ Specify ¡query ¡structure ¡independent ¡of ¡user ¡input: ¡ ResultSet ¡getProfile(Connec9on ¡conn, ¡String ¡arg_user) ¡ { ¡ ¡ ¡ ¡ ¡String ¡query ¡= ¡"SELECT ¡AcctNum ¡FROM ¡Customer ¡WHERE ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Balance ¡< ¡100 ¡AND ¡Username ¡= ¡?"; ¡ ¡ ¡ ¡ ¡PreparedStatement ¡p ¡= ¡conn.prepareStatement(query); ¡ ¡ ¡ ¡ ¡p.setString(1, ¡arg_user); ¡ Input is confined to ¡ ¡ ¡ ¡return ¡p.executeQuery(); ¡ a single SQL atom } ¡

  24. Parse Tree Template Constructed by Prepared Statement SELECT / FROM / WHERE AcctNum Customer AND < = Balance 100 Username ? Note: prepared statement only allows ? ’ s for leaves, not internal nodes. So structure of tree is fixed .

  25. Defenses Defenses (work-in-progress) Language ¡support ¡for ¡construc/ng ¡queries ¡ Specify ¡query ¡structure ¡independent ¡of ¡user ¡input: ¡ ResultSet ¡getProfile(Connec9on ¡conn, ¡String ¡arg_user) ¡ { ¡ ¡ ¡ ¡ ¡String ¡query ¡= ¡"SELECT ¡AcctNum ¡FROM ¡Customer ¡WHERE ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡Balance ¡< ¡100 ¡AND ¡Username ¡= ¡?"; ¡ ¡ ¡ ¡ ¡PreparedStatement ¡p ¡= ¡conn.prepareStatement(query); ¡ ¡ ¡ ¡ ¡p.setString(1, ¡arg_user); ¡ Binds the value of ¡ ¡ ¡ ¡return ¡p.executeQuery(); ¡ arg_user to '?' atom } ¡

Recommend

Server -side security risks (esp sp. . injection jection atta ttacks) s) websec 1 Attacks

Server -side security risks (esp sp. . injection jection atta ttacks) s) websec 1 Attacks

Web Securi rity ty Server -side security risks (esp sp. . injection jection atta ttacks) s) websec 1 Attacks on the web server malicious input web server er output This can be attacks on Availability: i.e. DoS attack, where attacker

1.86k views • 79 slides
Systems Security: Side-channel attacks Stjepan Picek s.picek@tudelft.nl Delft University of

Systems Security: Side-channel attacks Stjepan Picek s.picek@tudelft.nl Delft University of

Systems Security: Side-channel attacks Stjepan Picek s.picek@tudelft.nl Delft University of Technology, The Netherlands May 6, 2018 Outline 1 Side-channels 2 Implementation Attacks 3 Side-channel Attacks 4 Fault Injection 2 / 48

824 views • 48 slides
Web Security: Injection Attacks CS 161: Computer Security Prof. Raluca Ada Popa February 5,

Web Security: Injection Attacks CS 161: Computer Security Prof. Raluca Ada Popa February 5,

Web Security: Injection Attacks CS 161: Computer Security Prof. Raluca Ada Popa February 5, 2016 Credit: some slides are adapted from previous offerings of this course and from CS 241 of Prof. Dan Boneh What can go bad if a web server is

702 views • 37 slides
Web Security: Injection Attacks CS 161: Computer Security Prof. Raluca Ada Popa March 20, 2018

Web Security: Injection Attacks CS 161: Computer Security Prof. Raluca Ada Popa March 20, 2018

Web Security: Injection Attacks CS 161: Computer Security Prof. Raluca Ada Popa March 20, 2018 Credit: some slides are adapted from previous offerings of this course and from CS 241 of Prof. Dan Boneh What can go bad if a web server is

1.13k views • 91 slides
Injection Attacks on Server (Section 7.3 in book + some extra stuff; Note: we skipped 7.2 for

Injection Attacks on Server (Section 7.3 in book + some extra stuff; Note: we skipped 7.2 for

Software and Web Security 2 Injection Attacks on Server (Section 7.3 in book + some extra stuff; Note: we skipped 7.2 for now) sws2 1 Recall: dynamically created web pages y y g Virtually all web pages you see are dynamically created

760 views • 63 slides
Injection Attacks on Server (Section 7.3 in book + some extra stuff; Note: we skipped 7.2 for

Injection Attacks on Server (Section 7.3 in book + some extra stuff; Note: we skipped 7.2 for

Software and Web Security 2 Injection Attacks on Server (Section 7.3 in book + some extra stuff; Note: we skipped 7.2 for now) sws2 1 Recall: dynamically created web pages Most web pages you see are dynamically created (except for instance

1k views • 64 slides
CROSS SITE SCRIPTING (XSS) ATTACKS Injection attacks 3/18/19 1 Whoami Ad Adam Nu Nurudin

CROSS SITE SCRIPTING (XSS) ATTACKS Injection attacks 3/18/19 1 Whoami Ad Adam Nu Nurudin

CROSS SITE SCRIPTING (XSS) ATTACKS Injection attacks 3/18/19 1 Whoami Ad Adam Nu Nurudin ini CEH, ITIL L V3, 3, CCNA, CCNP, CASP, PCI-DS DSS.. .. Lead Security Researcher @ Netwatch Technologies Project Consultant, Information

377 views • 20 slides
Summary Introduction &amp; Cryptographic Background Hardware Support for Physical Security

Summary Introduction &amp; Cryptographic Background Hardware Support for Physical Security

Summary Introduction &amp; Cryptographic Background Hardware Support for Physical Security Side Channel Attacks Arnaud Tisserand Fault Injection Attacks CNRS, Lab-STICC laboratory CRiSIS 2017, Dinard, France Protections Examples

266 views • 15 slides
Overview Network and Server Goal of Security Control Attacks and Penetration Phases of

Overview Network and Server Goal of Security Control Attacks and Penetration Phases of

Overview Network and Server Goal of Security Control Attacks and Penetration Phases of Control Methods of Taking Control Common Points of Attack Multifront Attacks Chapter 12 Auditing to Recognize Attacks Malicious

535 views • 7 slides
CPU Side-Channel Attacks the Meltdown Attack Heechul Yun 1 This Week: Hardware Security

CPU Side-Channel Attacks the Meltdown Attack Heechul Yun 1 This Week: Hardware Security

CPU Side-Channel Attacks the Meltdown Attack Heechul Yun 1 This Week: Hardware Security Introduction Meltdown Papers Spectre Attacks: Exploiting Speculative Execution, IEEE Security and Privacy (S&amp;P), 2019 (Dustin)

726 views • 44 slides
Webapp security: SQL injection Network Security Lecture 9 Today We have finished analyzing

Webapp security: SQL injection Network Security Lecture 9 Today We have finished analyzing

Webapp security: SQL injection Network Security Lecture 9 Today We have finished analyzing the security of network protocols We will now focus on web applications and their vulnerabilities (and attacks) SQL injection Eike Ritter

815 views • 25 slides
Cookies and Sessions Thierry Security assumptions You have absolutely no control on the client

Cookies and Sessions Thierry Security assumptions You have absolutely no control on the client

Cookies and Sessions Thierry Security assumptions You have absolutely no control on the client Client Side Server Side Web Server Database Web Browser Cookies The big picture key/value pairs data Client Side Server Side HTTP request

783 views • 13 slides
EXPLOITING SERVER SIDE TEMPLATE INJECTION WITH TPLMAP BY: DIVINE SELORM TSA 18 AUG 2018 Outline

EXPLOITING SERVER SIDE TEMPLATE INJECTION WITH TPLMAP BY: DIVINE SELORM TSA 18 AUG 2018 Outline

EXPLOITING SERVER SIDE TEMPLATE INJECTION WITH TPLMAP BY: DIVINE SELORM TSA 18 AUG 2018 Outline Introduction Template Engines SSTI SSTI Methodology Tplmap Demo Remediation What is a template engine? Helps

818 views • 16 slides
Security Psychology Topics Weve Covered Ethics XSS CSRF SQL injection

Security Psychology Topics Weve Covered Ethics XSS CSRF SQL injection

Security Psychology Topics Weve Covered Ethics XSS CSRF SQL injection Passwords Command injection Scanning Malware Most of these attacks are enabled by social engineering. Todays Class Pretexting

516 views • 26 slides
Provable Security against Side-Channel Attacks Matthieu Rivain matthieu.rivain@cryptoexperts.com

Provable Security against Side-Channel Attacks Matthieu Rivain matthieu.rivain@cryptoexperts.com

Provable Security against Side-Channel Attacks Matthieu Rivain matthieu.rivain@cryptoexperts.com MCrypt Seminar Aug. 11th 2014 Outline 1 Introduction 2 Modeling side-channel leakage 3 Achieving provable security against SCA

1.62k views • 92 slides
SQL Injection Attacks: A Quick Primer hassan.abudu@owasp.org OWASP Top 10 Vulnerabilities - 2017

SQL Injection Attacks: A Quick Primer hassan.abudu@owasp.org OWASP Top 10 Vulnerabilities - 2017

SQL Injection Attacks: A Quick Primer hassan.abudu@owasp.org OWASP Top 10 Vulnerabilities - 2017 Rank Name 1 Injection 2 Broken Authentication 3 Sensitive Data Exposure 4 XML External Entities 5 Broken Access Control 6 Security

682 views • 8 slides
Outline Classic code injection attacks CSci 5271 Announcements intermission Introduction to

Outline Classic code injection attacks CSci 5271 Announcements intermission Introduction to

Outline Classic code injection attacks CSci 5271 Announcements intermission Introduction to Computer Security Day 4: Low-level attacks Shellcode techniques Stephen McCamant University of Minnesota, Computer Science &amp; Engineering

412 views • 5 slides
Evaluating the Security of Implementations Against Side Channel Attacks Activities from ANSSI

Evaluating the Security of Implementations Against Side Channel Attacks Activities from ANSSI

Evaluating the Security of Implementations Against Side Channel Attacks Activities from ANSSI Laboratory for Embedded Security Emmanuel Prouff emmanuel.prouff@ssi.gouv.fr Agence Nationale de la S ecurit e des Syst` emes dInformation

790 views • 68 slides
Fresh Re-Keying: Security against Side-Channel and Fault Attacks for Low-Cost Devices Marcel

Fresh Re-Keying: Security against Side-Channel and Fault Attacks for Low-Cost Devices Marcel

VLSI Institute for Applied Information Processing and Communications (IAIK) VLSI &amp; Security Fresh Re-Keying: Security against Side-Channel and Fault Attacks for Low-Cost Devices Marcel Medwed Franois-Xavier Standaert Johann

814 views • 28 slides
LoRa Reverse Engineering and AES EM Side-Channel Attacks using SDR Pieter Robyns About me

LoRa Reverse Engineering and AES EM Side-Channel Attacks using SDR Pieter Robyns About me

LoRa Reverse Engineering and AES EM Side-Channel Attacks using SDR Pieter Robyns About me PhD student at Hasselt University since 2014 Since 2016 on FWO SBO research grant Researching wireless security Protocol security,

803 views • 57 slides
WEB AND BROWSER SECURITY Ben Livshits, Microsoft Research Web Application Vulnerabilities &amp;

WEB AND BROWSER SECURITY Ben Livshits, Microsoft Research Web Application Vulnerabilities &amp;

WEB AND BROWSER SECURITY Ben Livshits, Microsoft Research Web Application Vulnerabilities &amp; Defenses 2 Server-side woes Browser mechanisms: Same origin SQL injection Cross-domain request XSS overview Content

738 views • 50 slides
Server-side Web Security: Cross-Site Scripting CS 161: Computer Security Prof. Raluca Ada Popa

Server-side Web Security: Cross-Site Scripting CS 161: Computer Security Prof. Raluca Ada Popa

Server-side Web Security: Cross-Site Scripting CS 161: Computer Security Prof. Raluca Ada Popa February 9, 2016 Top web vulnerabilities OWASP Top 10

719 views • 49 slides
Countering Code-Injection Attacks With Instruction-Set Randomization Gaurav S. Kc, Angelos D.

Countering Code-Injection Attacks With Instruction-Set Randomization Gaurav S. Kc, Angelos D.

Countering Code-Injection Attacks With Instruction-Set Randomization Gaurav S. Kc, Angelos D. Keromytis Columbia University Vassilis Prevelakis Drexel University 1 Overview of Technique Protect from code-injection attacks create

608 views • 19 slides
Behind the Scene of Side Channel Attacks ASIACRYPT 2013 Victor LOMNE, Emmanuel PROUFF and Thomas

Behind the Scene of Side Channel Attacks ASIACRYPT 2013 Victor LOMNE, Emmanuel PROUFF and Thomas

Behind the Scene of Side Channel Attacks ASIACRYPT 2013 Victor LOMNE, Emmanuel PROUFF and Thomas ROCHE ANSSI (French Network and Information Security Agency) Thursday, December 3rd, 2013 Side Channel Attacks (SCA)| Linear Regression Attack

340 views • 32 slides

More recommend