HARD CORE SECURITY LAB

SFX-SQLi (Select For XML SQL injection) to stosunkowo nowa technika ataku typu SQL injection. Pomysł polega na wykorzystaniu klauzuli FOR XML w celu wydobycia całej zawartości tabeli w postaci jednego ciągu znaków. SFX-SQLi wspominamy dziś przy okazji wydania kolejnej wersji oprogramowania wspomagającego testowanie podatności baz danych na tego typu ataki.

Metoda SFX-SQLi (Select For XML SQL injection) została opracowana ponad rok temu przez Daniela Kachakila. Ze szczegółami samej techniki można się zapoznać dzięki wyczerpującemu opracowaniu opublikowanemu przez jej odkrywcę pod następującym adresem. Z technicznego punktu widzenia, Daniel nie odkrył żadnej nowej luki, a jedynie opracował metodę na znaczne usprawnienie wyciągania danych z bazy (dotyczy to systemów zarządzania bazami danych z rodziny Microsoft SQL Server) w trakcie ataku, co zazwyczaj w przypadku ataków typu SQL injection stanowi właśnie spory problem. Co jednak najciekawsze, Kachakil rozwija program SFX-SQLi Tool, pozwalający na praktyczne przetestowanie podatności własnych systemów na tego typu technikę ataku.

Dostępny od niedawna FX-SQLi w wersji 1.1.3.22, zgodnie z zapewnieniami autora, pozwala nawet na dostęp do danych zgromadzonych w ramach wielu różnych baz danych oraz obsługuje zapytania definiowane przez użytkownika. Warto więc za pomocą tego narzędzia przetestować bezpieczeństwo własnych serwerów SQL Server 2005/2008 i upewnić się, że potencjalny intruz nie będzie w stanie pobrać całej naszej bazy danych za pomocą pojedynczego zapytania.