{"id":106591,"date":"2022-08-13T20:03:00","date_gmt":"2022-08-13T18:03:00","guid":{"rendered":"https:\/\/blog.wedos.cz\/?p=106591"},"modified":"2022-08-30T08:18:20","modified_gmt":"2022-08-30T06:18:20","slug":"v-poslednich-dnech-evidujeme-narust-sqli-utoku-jak-nam-s-tim-pomuze-wedos-global-protection","status":"publish","type":"post","link":"https:\/\/blog.wedos.com\/cs\/v-poslednich-dnech-evidujeme-narust-sqli-utoku-jak-nam-s-tim-pomuze-wedos-global-protection","title":{"rendered":"V posledn\u00edch dnech evidujeme n\u00e1r\u016fst SQLi \u00fatok\u016f, jak n\u00e1m s t\u00edm pom\u016f\u017ee WEDOS Global Protection"},"content":{"rendered":"\n

D\u00edky centr\u00e1ln\u00edmu monitoringu log\u016f detailn\u011b sledujeme v\u0161echen provoz, kter\u00fd sm\u011b\u0159uje na weby na\u0161ich z\u00e1kazn\u00edk\u016f u slu\u017eeb LowCost, NoLimit, WebSite a WMS. Ty, co jsou pod \u00fatokem dok\u00e1\u017eeme velmi rychle naj\u00edt a schovat za WEDOS Global Protection (pokud pou\u017e\u00edvaj\u00ed na\u0161e DNS). V\u011bt\u0161inou jsou to L7 \u00fatoky s velk\u00fdm po\u010dtem request\u016f (n\u011bkdo prost\u011b vol\u00e1 va\u0161i str\u00e1nku des\u00edtkami a\u017e stovkami tis\u00edc dotaz\u016f za minutu). V posledn\u00edch dnech ale roste po\u010det SQLi \u00fatok\u016f.<\/p>\n\n\n\n\n\n\n\n

SQLi \u00fatoky<\/h2>\n\n\n\n

SQL (Structured Query Language) se pou\u017e\u00edv\u00e1 pro komunikaci s datab\u00e1zov\u00fdm serverem. V datab\u00e1zi m\u00e1te ulo\u017een\u00e1 data jako nap\u0159\u00edklad \u010dl\u00e1nky, koment\u00e1\u0159e, informace o registrovan\u00fdch u\u017eivatel\u00edch a pomoc\u00ed SQL si m\u016f\u017eete konkr\u00e9tn\u00ed data vyt\u00e1hnout.<\/p>\n\n\n\n

Pokud skript pot\u0159ebuje z\u00edskat n\u011bjak\u00e1 data na z\u00e1klad\u011b toho, co obdr\u017e\u00ed od n\u00e1v\u0161t\u011bvn\u00edka (jm\u00e9no, heslo, dotaz vyhled\u00e1v\u00e1n\u00ed, koment\u00e1\u0159 atd.), tak mus\u00ed n\u00e1v\u0161t\u011bvn\u00edk\u016fv vstup vlo\u017eit do SQL dotazu.<\/p>\n\n\n\n

Zjednodu\u0161en\u011b, pokud je u\u017eivatel t\u0159eba L\u00e1d\u00edk, kter\u00fd chce v\u011bd\u011bt, jak\u00fd m\u00e1 kredit, tak se p\u0159es SQL zept\u00e1 skript datab\u00e1zov\u00e9ho serveru, jak\u00fd kredit m\u00e1 u\u017eivatel se jm\u00e9nem L\u00e1d\u00edk<\/em>. <\/p>\n\n\n\n

SQLi (SQL injection) \u00fatok je postaven\u00fd na tom, \u017ee \u00fato\u010dn\u00edk p\u0159edpokl\u00e1d\u00e1 (h\u00e1d\u00e1), jak SQL dotaz vypad\u00e1 a zkus\u00ed upravit vstup, tak, aby z\u00edskal po\u017eadovan\u00fd v\u00fdsledek.<\/p>\n\n\n\n

Nap\u0159\u00edklad pokud by bylo „kdo je aktu\u00e1ln\u011b p\u0159ihl\u00e1\u0161en\u00fd“ ulo\u017eeno v cookie, tak by \u00fato\u010dn\u00edk mohl zkusit hodnotu v cookie upravit (zm\u011bnil by sv\u00e9 jm\u00e9no za L\u00e1d\u00edka, \u010di dal\u0161\u00edch u\u017eivatel\u016f) a zjistit, kolik m\u00e1 kter\u00fd u\u017eivatel kreditu. <\/p>\n\n\n\n

Aby se to nestalo, tak si program\u00e1tor mus\u00ed o\u0161et\u0159it v\u0161echny vstupy, kter\u00e9 p\u0159ij\u00edm\u00e1 nejen od u\u017eivatele. Vlo\u017eit \u0161kodliv\u00fd kus SQL lze toti\u017e i do n\u00e1zvu prohl\u00ed\u017ee\u010de. Uk\u00e1zku takov\u00e9ho \u00fatoku z ledna 2022 m\u016f\u017eete vid\u011bt n\u00ed\u017ee (\u0161kodliv\u00fd k\u00f3d je odes\u00edl\u00e1n v hlavi\u010dce useragent). Podvr\u017een\u00e1 byla i informace, odkud u\u017eivatel p\u0159ich\u00e1z\u00ed.<\/p>\n\n\n\n

\"Uk\u00e1zka<\/a>
Uk\u00e1zka SQLi \u00fatoku, kter\u00fd je schovan\u00fd useragent<\/figcaption><\/figure>\n\n\n\n

<\/p>\n\n\n\n

N\u00e1r\u016fst po\u010dtu SQLi \u00fatok\u016f<\/h2>\n\n\n\n

Se SQLi \u00fatoky se setk\u00e1v\u00e1me denn\u011b. V\u011bt\u0161inou se v\u0161ak \u00fato\u010dn\u00edk sna\u017e\u00ed nevzbuzovat pozornost. \u010casto jde na jistotu po ur\u010dit\u00e9 konkr\u00e9tn\u00ed zranitelnosti (neo\u0161et\u0159en\u00e9m vstupu). Provede p\u00e1r dotaz\u016f za hodinu z r\u016fzn\u00fdch IP adres, tak\u017ee pokud tento druh \u00fatoku v\u00fdslovn\u011b nehled\u00e1te, tak se snadno ztrat\u00ed ve statistik\u00e1ch. Nezp\u016fsobuje v\u011bt\u0161inou p\u0159et\u011b\u017eov\u00e1n\u00ed serveru, ob\u010das kon\u010d\u00ed na chyb\u011b 404 anebo 403 (pokud se program\u00e1tor na tuto situaci p\u0159ipravil). Ob\u010das jej vid\u00edte jako chybu 500, co\u017e u\u017e je n\u00e1padn\u00e9 a hlavn\u011b \u0161patn\u011b.<\/p>\n\n\n\n

Tento nen\u00e1padn\u00fd p\u0159\u00edstup se v\u0161ak koncem \u010dervence zm\u011bnil. Na prvn\u00ed pohled to vypadlo jako L7 flood \u00fatok. Tedy pokus o p\u0159et\u00ed\u017een\u00ed po\u010dtem dotaz\u016f.<\/p>\n\n\n\n

\"SQLi<\/a>
SQLi \u00fatoky b\u011bhem 7 dn\u016f (28.07.2022 -04.08.2022), 3h graf<\/figcaption><\/figure>\n\n\n\n

Ob\u010das na to skripty z\u00e1kazn\u00edk\u016f nebyly p\u0159ipraven\u00e9 a pak to vedlo k vy\u010derp\u00e1n\u00ed zdroj\u016f webhostingu a chyb\u00e1m 503. Nicm\u00e9n\u011b pot\u00e9, co jsme za\u010d\u00e1tkem roku u v\u0161ech NoLimit nav\u00fd\u0161ili po\u010det PHP vl\u00e1ken na 25, tak webhostingy vydr\u017e\u00ed opravdu hodn\u011b \ud83d\ude42<\/p>\n\n\n\n

Na n\u00e1sleduj\u00edc\u00edm grafu je TOP 10 c\u00edlov\u00fdch web\u016f podle dom\u00e9ny, a jak si s \u00fatoky poradily. Graf je za 7 dn\u00ed a je na n\u011bm jen specifick\u00fd vzorek SQLi \u00fatok\u016f, nejsou to tedy v\u0161echny.<\/p>\n\n\n\n

\"TOP<\/a>
TOP 10 c\u00edlov\u00fdch web\u016f podle dom\u00e9ny a jak si s \u00fatoky poradily. Graf je za 7 dn\u00ed a je na n\u011bm jen specifick\u00fd vzorek SQLi \u00fatok\u016f, nejsou to tedy v\u0161echny.<\/figcaption><\/figure>\n\n\n\n

Je opravdu velk\u00fd rozd\u00edl mezi webem, kde si program\u00e1tor tento druh \u00fatoku o\u0161et\u0159il a nevalidn\u00ed vstupy rovnou zahazuje (ukon\u010duje b\u011bh skriptu) a tam, kde skript b\u011b\u017e\u00ed d\u00e1l.<\/p>\n\n\n\n

Tento konkr\u00e9tn\u00ed druh SQLi \u00fatoku je jako brute force \u00fatok. \u00dato\u010dn\u00edk testuje velmi rychle za sebou r\u016fzn\u00e9 varianty, tak\u017ee to m\u016f\u017ee dopadnout vy\u010derp\u00e1n\u00edm serverov\u00fdch zdroj\u016f. Rovnou to zahodit a ukon\u010dit skript s chybou 403 je to nejlep\u0161\u00ed, co m\u016f\u017eete ud\u011blat. <\/p>\n\n\n\n

Na n\u00e1sleduj\u00edc\u00edm grafu je TOP 10 \u00fato\u010d\u00edc\u00edch IP adres. Graf je za 7 dn\u00ed a je na n\u011bm jen specifick\u00fd vzorek SQLi \u00fatok\u016f, nejsou to tedy v\u0161echny. Zaj\u00edmav\u00e9 je, \u017ee n\u011bkter\u00e9 IP se sna\u017e\u00ed generovat n\u00e1hodn\u00e9 prohl\u00ed\u017ee\u010de a jin\u00e9 si vysta\u010d\u00ed se vzorkem n\u011bkolik re\u00e1ln\u00fdch. <\/p>\n\n\n\n

\"TOP<\/a>
TOP 10 \u00fato\u010d\u00edc\u00edch IP adres. Graf je za 7 dn\u00ed a je na n\u011bm jen specifick\u00fd vzorek SQLi \u00fatok\u016f, nejsou to tedy v\u0161echny.<\/figcaption><\/figure>\n\n\n\n

Co se t\u00fdk\u00e1 „\u0161kod“, tak p\u00e1r IP adres se trefilo do web\u016f, kter\u00e9 nem\u011bly proti tomuto druhu \u00fatoku ochranu (nezahazovaly nesmysln\u00e9 vstupy) a pokusily se je zpracovat. Kdy\u017e se jim to nakupilo, tak ani 25 PHP vl\u00e1ken nesta\u010dilo a vedlo to k chyb\u00e1m 503. Nicm\u00e9n\u011b to nejelo jen chvilku. M\u00e1me automatick\u00e9 filtry, proti L7 flood \u00fatok\u016fm, kter\u00e9 n\u00e1padn\u00e9 \u00fato\u010d\u00edc\u00ed IP adresy d\u00e1vaj\u00ed na do\u010dasn\u00e9 blacklisty. Nav\u00edc jakmile za\u010dnou chodit varov\u00e1n\u00ed z monitoringu, tak technici \u00fato\u010d\u00edc\u00ed IP adresy d\u00e1vaj\u00ed na permanentn\u00ed blacklist, kter\u00fd do minuty za\u010dne v\u0161ude danou IP adresu blokovat.<\/p>\n\n\n\n

\"TOP<\/a>
TOP 10 \u00fato\u010d\u00edc\u00edch IP adres podle 503. Graf je za 7 dn\u00ed a je na n\u011bm jen specifick\u00fd vzorek SQLi \u00fatok\u016f, nejsou to tedy v\u0161echny. <\/figcaption><\/figure>\n\n\n\n

Jak se SQLi mohu s\u00e1m br\u00e1nit<\/h2>\n\n\n\n

Pokud t\u011bchto \u00fatok\u016f na v\u00e1s nejdou des\u00edtky tis\u00edc za minutu, tak s na\u0161\u00edm webhostingem NoLimit se jim ubr\u00e1n\u00edte t\u00edm, \u017ee d\u00e1te do .htacess pravidlo, kter\u00e9 blokuje specifick\u00e9 \u0159et\u011bzce v URL. <\/p>\n\n\n\n

Kdy\u017e se pod\u00edv\u00e1te na log jednoho z \u00fatok\u016f, tak uvid\u00edte, \u017ee se tam opakuj\u00ed klasick\u00e9 znaky SQLi.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Z t\u011bchto \u00fatok\u016f jsme vybrali TOP 100 nejpou\u017e\u00edvan\u011bj\u0161\u00edch \u00fatok\u016f a n\u00e1sledn\u011b zjistili, \u017ee pokud zablokujete v .htaccess dotazy na str\u00e1nky se SELECT%20<\/strong> a SELECT%2F<\/strong>, tak byste zablokovali 99,89 % ze v\u0161ech \u00fatok\u016f. To je na jedno pravidlo celkem slu\u0161n\u00e9. <\/p>\n\n\n\n

Samoz\u0159ejm\u011b pokud budete m\u00edt str\u00e1nku, kter\u00e1 obsahuje SELECT (mezera) anebo SELECT\/, tak ta nebude n\u00e1v\u0161t\u011bvn\u00edk\u016fm fungovat. Nicm\u00e9n\u011b takov\u00e9 se b\u011b\u017en\u011b nepou\u017e\u00edvaj\u00ed v URL (mezera se nahrazuje znakem – anebo _ a \/ m\u016f\u017ee nad\u011blat probl\u00e9my, proto\u017ee \/ se pou\u017e\u00edv\u00e1 pro adres\u00e1\u0159ovou strukturu). <\/p>\n\n\n\n

Mo\u017en\u00e1 si \u0159\u00edk\u00e1te, pro\u010d m\u00edsto toho neblokovat \u00fato\u010d\u00edc\u00ed IP adresy? Bohu\u017eel \u00fatoky jdou ze dvou zdroj\u016f. Jedno jsou z\u0159ejm\u011b napaden\u00e9 VPS v datacentrech Microsoft a druh\u00e9 jdou p\u0159es jednoho velk\u00e9ho providera VPN, kter\u00fd se chlub\u00ed, \u017ee m\u00e1 a\u017e 300 tis\u00edc IP adres. Kdy\u017e jich d\u00e1te tolik do .htaccess, tak v\u00e1m to v\u00fdrazn\u011b zpomal\u00ed na\u010d\u00edt\u00e1n\u00ed v\u0161ech str\u00e1nek. Nav\u00edc pokud n\u011bkdo tu VPN pou\u017e\u00edv\u00e1, tak se k v\u00e1m nedostane.<\/p>\n\n\n\n

WEDOS Global Protection<\/h2>\n\n\n\n

Nejpohodln\u011bj\u0161\u00ed bude, kdy\u017e nech\u00e1te v\u0161e na n\u00e1s. Respektive na WEDOS Global Protection<\/a>. Jednak nemus\u00edte sledovat aktu\u00e1ln\u00ed d\u011bn\u00ed, vym\u00fd\u0161let pravidla pro .htaccess, kde jeden p\u0159eklep znamen\u00e1 chybu 500 pro cel\u00fd web a hlavn\u011b si nezablokujete potenci\u00e1ln\u00ed n\u00e1v\u0161t\u011bvn\u00edky p\u0159ich\u00e1zej\u00edc\u00ed p\u0159es VPN. <\/p>\n\n\n\n

My to toti\u017e vy\u0159e\u0161\u00edme jednodu\u0161e. D\u00e1me podez\u0159el\u00e9mu provozu do cesty str\u00e1nku, kter\u00e1 vyzkou\u0161\u00ed, zda-li se jedn\u00e1 o robota anebo o skute\u010dn\u00e9ho n\u00e1v\u0161t\u011bvn\u00edka. Bu\u010f p\u0159es Captcha, anebo jen jednoduch\u00e9 javascript p\u0159esm\u011brov\u00e1n\u00ed podm\u00edn\u011bn\u00e9 ulo\u017een\u00edm a p\u0159e\u010dten\u00edm cookie. <\/p>\n\n\n\n

Do budoucna bychom tak\u00e9 r\u00e1di v\u0161echny VPN a proxy servery se\u0159adili do jedn\u00e9 skupiny a nab\u00eddli p\u0159\u00edmo z\u00e1kazn\u00edkovi, jak s nimi chce na sv\u00fdch str\u00e1nk\u00e1ch nalo\u017eit (nekontrolovat, redirekt, captcha, blokovat). <\/p>\n\n\n\n

Z\u00e1v\u011br<\/h2>\n\n\n\n

WEDOS Global Protection m\u016f\u017ee pou\u017e\u00edvat ka\u017ed\u00fd. Nemus\u00edte u n\u00e1s m\u00edt hosting. Varianta pro osobn\u00ed pou\u017eit\u00ed bude zdarma, pokud si chcete vytv\u00e1\u0159et vlastn\u00ed pravidla anebo jste firma tak bude jen za p\u00e1r set korun m\u011bs\u00ed\u010dn\u011b. U\u017e brzy \ud83d\ude42 <\/p>\n","protected":false},"excerpt":{"rendered":"

D\u00edky centr\u00e1ln\u00edmu monitoringu log\u016f detailn\u011b sledujeme v\u0161echen provoz, kter\u00fd sm\u011b\u0159uje na weby na\u0161ich z\u00e1kazn\u00edk\u016f u slu\u017eeb LowCost, NoLimit, WebSite a WMS. Ty, co jsou pod \u00fatokem dok\u00e1\u017eeme velmi rychle naj\u00edt a schovat za WEDOS Global Protection (pokud pou\u017e\u00edvaj\u00ed na\u0161e DNS). V\u011bt\u0161inou jsou to L7 \u00fatoky s velk\u00fdm po\u010dtem request\u016f (n\u011bkdo prost\u011b vol\u00e1 va\u0161i str\u00e1nku des\u00edtkami … <\/p>\n

Pokra\u010dovat ve \u010dten\u00ed „V posledn\u00edch dnech evidujeme n\u00e1r\u016fst SQLi \u00fatok\u016f, jak n\u00e1m s t\u00edm pom\u016f\u017ee WEDOS Global Protection“<\/span><\/a><\/p>\n","protected":false},"author":9,"featured_media":107026,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[112],"tags":[122,180,193,177],"class_list":["post-106591","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-bezpecnost","tag-ddos","tag-kyberbezpecnost","tag-sqli","tag-wedos-global-protection"],"_links":{"self":[{"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/posts\/106591","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/comments?post=106591"}],"version-history":[{"count":10,"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/posts\/106591\/revisions"}],"predecessor-version":[{"id":108784,"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/posts\/106591\/revisions\/108784"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/media\/107026"}],"wp:attachment":[{"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/media?parent=106591"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/categories?post=106591"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.wedos.com\/cs\/wp-json\/wp\/v2\/tags?post=106591"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}