Regex - gefährliche drops in sql finden

Regex - gefährliche drops in sql finden (26 Beiträge, 619 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hallo!

Also ich hab mich jetzt sehr lange herumgespielt, finde aber leider keine Lösung für mein Problem.

Ich möchte alle potenziell gefährlichen DROPs in den folgenden Test-String finden. (Schon klar das die SQL-Statements nicht korrekt sind -> just for testing).

Mein Ansatz war es alle DROPs zu finden die:

nicht von Klammern umschlossen sind

nicht von Anführungszeichen umschlossen sind

Hierbei muss es egal sein wieviele Leerzeichen und ob überhaupt vorher bzw. danach vorhanden sind.

Da ich noch nicht viele mit regular expressions gemacht habe bitte ich um Verzeihung wenn es möglicherweise sehr einfach zu lösen ist. Ich habe versucht es mit http://gskinner.com/RegExr/ zu testen aber leider interpretiert PHP es etwas anders als dieser Editor.

Mein derzeitiger Ansatz ist:

@\bDROP(((\s*)??)|(/\W+\w+)??)[^\"\'\)\/\.,]\b@im

Aber das will nicht so recht klappen

INSERT INTO xyz (name) VALUES(' DROP ');
INSERT INTO xyz (DROP.name) VALUES (' DROP ');
INSERT INTO xyz (name) VALUES ("DROP ");
INSERT INTO xyz ( DROP ) VALUES("DROP ");
INSERT INTO xyz ( DROP,name.field ) VALUES ("INSERT",INSERT );

SELECT * FROM xy WHERE a = 'c';
SELECT * FROM xy WHERE a = "c";
SELECT c,d,e FROM xy WHERE a = 'c';
SELECT a,b,(SELECT q FROM xy WHERE a = 'c') FROM xy WHERE a = 'c';



DROP TABLE `def`;
'DROP TABLE 'def';
DROP TABLE "def";
DROP TABLE def;
DROP TABLE IF EXISTS `B`,`C`,`A`;
 DROP TABLE IF EXISTS B,C,A,DROP                 ;

Ich erhalte folgendes Resultat:

Array
(
    [0] => Array
        (
            [0] => DROP 
            [1] => DROP 
            [2] => DROP 
            [3] => DROP 
            [4] => DROP 
            [5] => DROP 
            [6] => DROP 
            [7] => DROP/**/TABLE
        )

    [1] => Array
        (
            [0] => 
            [1] => 
            [2] => 
            [3] => 
            [4] => 
            [5] => 
            [6] => 
            [7] => /**/TABL
        )

    [2] => Array
        (
            [0] => 
            [1] => 
            [2] => 
            [3] => 
            [4] => 
            [5] => 
            [6] => 
            [7] => 
        )

    [3] => Array
        (
            [0] => 
            [1] => 
            [2] => 
            [3] => 
            [4] => 
            [5] => 
            [6] => 
            [7] => 
        )

    [4] => Array
        (
            [0] => 
            [1] => 
            [2] => 
            [3] => 
            [4] => 
            [5] => 
            [6] => 
            [7] => /**/TABL
        )

)

Danke!

29.12.2010, 15:26 Uhr - Editiert von n256, alte Version: hier

Welchen Sinn soll sowas machen? Beschäftigungstherapie?

29.12.2010, 16:54 Uhr - Editiert von hellbringer, alte Version: hier

Also da man sich hier ständig rechtfertigen muss:

Ich baue gerade meine DB-Class um da in meinem derzeitigen Projekt auch "fremd"-Module eingesetzt werden.

Module dürfen immer nur ihrere eigenen Tabellen löschen bzw. bearbeiten, da dies aber nicht gewährleistet ist da ich ja mit einem DROP jede Tabelle löschen kann und nur einen User zur Verfügung habe gibt es nur Zugriff auf die Datenbank über die DB-Class in der normale DROP-Statements blockiert werden. Das löschen ist dann nur über eine Funktion innerhalb der Class möglich die jedoch jedem Modul immer nur Zugriff auf die eigenen Tabellen gewährt.

Ich hoffe ich hab das verständlich ausgedrückt, ist etwas kompliziert.

Außerdem hab ich nicht nach einer Meinung zu dem gefragt sonder um hilfestellung zur Problemlösung.

29.12.2010, 17:46 Uhr - Editiert von n256, alte Version: hier

Also da man sich hier ständig rechtfertigen muss:

Ich baue gerade meine DB-Class um da in meinem derzeitigen Projekt auch
"fremd"-Module eingesetzt werden.

Module dürfen immer nur ihrere eigenen Tabellen löschen bzw. bearbeiten, da
dies aber nicht gewährleistet ist da ich ja mit einem DROP jede Tabelle
löschen kann und nur einen User zur Verfügung habe gibt es nur Zugriff auf die
Datenbank über die DB-Class in der normale DROP-Statements blockiert werden.
Das löschen ist dann nur über eine Funktion innerhalb der Class möglich die
jedoch jedem Modul immer nur Zugriff auf die eigenen Tabellen gewährt.

Ich hoffe ich hab das verständlich ausgedrückt, ist etwas kompliziert.

Wie hinderst du die Module daran, dass sie deinen PHP-Code modifizieren und damit deinen "Schutz" aushebeln?

Wie hinderst du die Module daran, dass sie sich direkt mit der Datenbank verbinden?

IMHO ist dein Vorhaben ziemlich sinnlos und gleicht einer Sisyphos-Arbeit. Du stopfst eine Lücke und der nächste sucht sich eine andere.

Außerdem hab ich nicht nach einer Meinung zu dem gefragt sonder um
hilfestellung zur Problemlösung.

Wusste nicht, dass es hier im Forum verboten ist seine Meinung zu äußern.

Dann mach das Ganze doch mit mehreren Benutzern welche nur Berechtigungen auf ihre eigenen Daten haben...

Weil wo ein DROP ist geht eben auch ein TRUNCATE, oder ein DELETE * .... und dann sind (zumindest die Daten) auch futsch....

Also mach Benutzer auf die Datenbank, alles andere ist riesengroßer Megapfusch.

29.12.2010, 18:27 Uhr - Editiert von dizo, alte Version: hier

Hi!

Es ist nicht möglich mehr als einen Benutzer auf eine Datenbank zu legen (Hosting).

Es macht durchaus Sinn es so zu realisieren, aber ich will hier nicht den Aufbau des Systems detailiert erklären.
Es geht in erster Linie nicht darum das System zu schützen sondern in gewissen definierten Stadien in dem ein Modul sich gerade befindet zu verhindern das ein DROP ausgeführt wird. Außerdem wie schon erwähnt darf ein Modul nur auf seine eigenen Tabellen zugreifen. Das wird dadurch gewährleistet das sich Datenbankverbindung in der DB-Class befindet. Die Zugangsdaten sind in einer Config-Datei verschlüsselt. Die Entschlüsselung ist nur mit dem zuvor angemeldeten User möglich. Natürlich birgt das ein Sicherheitsrisiko wenn der User seine Zugangsdaten vergisst. Aber im schlimmsten Fall ändere ich die Zugangsdaten und en Datenbankzugang.

Es ist unmöglich alles abzusichern aber man kann versuchen es so sicher wie möglich zu gestalten.

Aber ich habe mir bereits ein funktionierendes preg_match_all gebastelt, danke.

Außerdem wie schon erwähnt darf ein Modul nur auf seine eigenen Tabellen
zugreifen. Das wird dadurch gewährleistet das sich Datenbankverbindung in der
DB-Class befindet.

Wie verhindert eine Datenverbindung, dass man auf bestimmte Tabellen zugreift?

Die Zugangsdaten sind in einer Config-Datei verschlüsselt. Die Entschlüsselung ist nur mit dem zuvor angemeldeten User möglich.

Wenn die Entschlüsselung am selben Server passiert, ist das komplett useless. Da kannst du gleich auf die Verschlüsselung verzichten.

Es ist unmöglich alles abzusichern aber man kann versuchen es so sicher wie möglich zu gestalten.

Vor was willst du eigentlich absichern?

Aber ich habe mir bereits ein funktionierendes preg_match_all gebastelt, danke.

Und ich wette mit dir, dass es leicht umgehbar ist. IMHO wiegst du dich in falscher Sicherheit. Wenn du wirklich etwas tun willst, dann beschränke den Zugang zur Datenbank. Erlaube keinen nativen SQL-Code.

29.12.2010, 19:38 Uhr - Editiert von hellbringer, alte Version: hier

Wie verhindert eine Datenverbindung, dass man auf bestimmte Tabellen zugreift?

Er wird wohl den Zugriff nur über seine Klasse freigeben wollen, und prüft dort eventuell per Regex die Querys. Naja sehr abenteuerlich

Er wird wohl den Zugriff nur über seine Klasse freigeben wollen, und prüft
dort eventuell per Regex die Querys. Naja sehr abenteuerlich

In der Tat. Das wär sogar für Indiana Jones zu viel. Soll ich ihm verraten, dass man Tabellennamen in SQL auch dynamisch zusammensetzen kann, ohne dass man jemals den Tabellennamen ausschreiben muss?

Soll ich ihm verraten, dass man Tabellennamen in SQL auch dynamisch
zusammensetzen kann, ohne dass man jemals den Tabellennamen ausschreiben muss?

Bitte nicht

Wie verhindert eine Datenverbindung, dass man auf bestimmte Tabellen zugreift?

Mit einer Datenverbindung kann man das auch nicht regeln.
Da hast du was falsch verstanden.

Wieso deaktivierst du nicht komplett den Befehl Drop für den Benutzer, bzw. wenn das bei dem Hosting überhaupt möglich ist...

Sinnvoller wäre wohl ein virtueller Rootserver, und sich seine SQL Konfig selber zu basteln.

Nur verstehe ich noch nicht ganz:

Du erlaubst dem User auf deine selbst programmierte Klasse zuzugreifen, um SQL Querys an die DB zu schicken -> ok.

Du versuchst nun innerhalb der Klasse die QUERYS zu prüfen und falsche Datenbankzugriffe zu unterbinden -> ok

Wie läuft das ab mit der Entschlüsselung? Du schickst die verschlüsselten Zugangsdaten zur Klasse, prüfst diese und gibts dann bei richtigen Zugangsdaten die Klasse zur Verwendung frei?

Hast du etwas Code davon? Ich bin mir 99,9% sicher jeder der etwas Ahnung davon hat legt dein System sofort flach.

Hi!

Code ist noch nicht fertig.
Die Connection wird in der Klasse hergestellt sowie auch die Querys in der Klasse ausgeführt werden.
Auch die Entschlüsselung findet in der Klasse statt.

Es beteht keine Möglichkeit den Link bzw. die Verschlüsselung von außen zu beeinflussen.

DROPs müssen erlaubt sein da die Module selbst ihre Tabellen manipulieren bzw. löschen dürfen.
Wer wohin darf wird in einer seperaten Tabelle gesteuert auf die nur das "System" selbst Zugriff hat. Dass das System auf diese Tabelle zugreifen darf ist im Quelltext verarbeitet.

Warum dieses Misstrauen?

30.12.2010, 01:39 Uhr - Editiert von n256, alte Version: hier

Es beteht keine Möglichkeit den Link bzw. die Verschlüsselung von außen zu beeinflussen.

Man kann auch nicht die PHP-Datei verändern, auslesen oder kopieren?

Die Connection wird in der Klasse hergestellt

Hoffentlich nicht mit der alten mysql- oder mysqli-Extension, ansonsten kann jeder von "außen" ohne Umwege auf die Verbindung zugreifen.

DROPs müssen erlaubt sein da die Module selbst ihre Tabellen manipulieren bzw.
löschen dürfen.
Wer wohin darf wird in einer seperaten Tabelle gesteuert auf die nur das
"System" selbst Zugriff hat. Dass das System auf diese Tabelle zugreifen darf
ist im Quelltext verarbeitet.

Und der Quelltext ist absolut unantastbar? Bist du dir ganz sicher?

Warum dieses Misstrauen?

Weil ich schon genug skurrile Ideen von PHP-Pfuschern gesehen habe und inzwischen einen Riecher dafür habe. Und bei dir schlägt mein Riecher eindeutig an.

Ich lass mich hier nicht beleidigen.
Von einer sachlichen Diskussion sind wir hier schon weit entfernt.

30.12.2010, 15:12 Uhr - Editiert von n256, alte Version: hier

Hol dir Expresso und lass es dir davon zusammenbasteln. Kostet nur eine spambot Adresse. Das Tool ist selbsterklärend und - wenn du willst - komplett Menügesteuert.

pong

"Ein Gewitter reinigt die Luft", sagte ein Mann, nachdem ein Blitz seine Frau erschlug

Bitte aus welcher genialen Schublade stammt dieses Tool?

Traumhaft!

DANKE!

Lg
wasined
<-><-><-><-><-><-><-><-><-><-><-><-><-><-><-><-><-><-><-><-><-><-><-><->

Sagte ich ja schon ... wasined

Ich geb mal sinngemäß "Morgen komm ich später rein" von M. Albers wider:

Erledigst du deine tägliche Arbeit in 6 anstatt 8 Stunden, hast du dir selbst eine empfindliche Gehaltserhöhung gegeben.

pong

"Ein Gewitter reinigt die Luft", sagte ein Mann, nachdem ein Blitz seine Frau erschlug

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung