وبلاگ تخصصي برنامه نويسي با VB

آرشيو


آرشيو وبلاگ را بصورت ماهيانه درآوردم .

اکنون می توانيد  بسيار راحتتر به مطالب گذشته دسترسی داشته باشيد .

+ حامد شیدائیان ; ۳:٥٥ ‎ب.ظ ; چهارشنبه ٢٥ تیر ،۱۳۸٢
comment نظرات ()

Server-Side ActiveX Dll Programming - بخش ششم


نوشتن کلاس Database : بخش دوم

sql-injection چيست ؟

همانطور که می دانيد در اغلب برنامه های کاربردی تحت وب از بانکهای اطلاعاتی استفاده می شود . اين برنامه ها داده های ورودی کاربر را از طريق فرمهای html دريافت کرده و بر اساس آن يک query توليد کرده و آنرا به بانک اطلاعاتی ارسال می کنند . در واقع ارتباط بين برنامه تحت وب با بانک اطلاعاتی بر اساس توليد query از داده های کاربر برقرار می شود . اکثر اين برنامه ها از زبان SQL برای اين ارتباط استفاده می کنند . اما نکته ای که در اين بين وجود دارد اينست که توليد query بر اساس داده هايی که کاربر مستقيماً در فيلدهای ورودی صفحه وب وارد کرده می تواند خطرناک باشد . بعبارت ديگر اگر برنامه محتويات يک فيلد را که توسط کاربر وارد شده در جلوی يک دستور SQL بچسباند و آنرا جهت اجرا روی بانک اطلاعاتی بفرستد در اينصورت يک هکر ماهر که با زبان SQL آشنا باشد می تواند محتويات اين فيلدها را طوری با دستورات SQL پر کند و چون ای داده ها مستقيماً برای توليد query استفاده می شود ممکنست آن query تبديل به يک فرمان مخرب شده و پس از اجرا ، اهداف نفوذگر را برآورده نمايد .

مثال : فرض کنيد دو فيلد به اسمهای username و password در يک فرم وب قرار دارد که برای ورود به يک سايت استفاده می شود . همچنين فرض کنيد از اطلاعات اين فيلدها بطور مستقيم يک query بصورت زير برای بانک اطلاعاتی ارسال شود :

us=request.form("username")
psw=request.form("password")
query="SELECT * FROM Users WHERE username='"&us&"' AND password='"&psw&"'"

حال در صورتيکه هکر يک username صحيح ( مثلاً xxx ) از سيستم را بداند و در فيلد username مقدار صحيح را وارد کرده و در فيلد password عبارت زير را وارد کند :

1111111' or  username='xxx'

در اينصورت query بصورت زير در می آيد :

SELECT * FROM Users WHERE username='xxx' AND password='111111' or username='xxx'

در اينصورت هکر بدون دانستن يک password مجاز می تواند به سيستم وارد شود .
اين امر بخاطر آنست که چون فيلدهای وارد شده توسط کاربر بطور مستقيم در query قرار داده شده اند هکر توانسته کاراکتر ' را که در زبان SQL يک کاراکتر کنترلی بوده و عملکرد خاصی دارد ( عمل خاتمه دادن به عبارت SQL ) را در در query بگنجاند و سپس با دادن دستورات SQL مناسب کنترل را بدست بگيرد .

اين سناريو می تواند بسيار خطرناکتر باشد زيرا هکر می تواند از ساير دستورات SQL مثل INSERT و DELETE نيز استفاده کند .

- در نگارش مطالب فوق از کتاب " نفوذگری در شبکه و روشهای مقابله با آن " نوشته مهندس احسان ملکيان استفاده شده است . برای آشنايی بيشتر با sql-injection و روشهای مقابله با آن به صفحات ۳۲۰ تا ۳۲۸ اين کتاب مراجعه کنيد .

برای مقابله با اين حملات بايستی از داده های ارسال شده توسط کاربر مستقيماً query توليد نکنيم بلکه ابتدا عدم وجود کاراکترهای کنترلی مثل ' و " و ; و *و غيره را در آن بررسی کنيم . برنامه ابتدا بايد در query وجود چنين کاراکترهايی را در مکانهای غيرمجاز بررسی کند . در بخش بعدی برنامه ای را جهت بررسی query های SQL بمنظور مقابله با sql-injection ارائه خواهم داد .

 

+ حامد شیدائیان ; ۱٠:٢۳ ‎ق.ظ ; دوشنبه ٢۳ تیر ،۱۳۸٢
comment نظرات ()

معرفی سايت


- سايت VB4ir ، انجمن اختصاصي برنامه نويسان ويژوال بيسيک .

+ حامد شیدائیان ; ٥:٠۳ ‎ب.ظ ; شنبه ۱٤ تیر ،۱۳۸٢
comment نظرات ()

Server-Side ActiveX Dll Programming - بخش پنجم


نوشتن کلاس Database - بخش اول :

پس از مباحثی که در مورد شی ADODB و چگونگی استفاده از آن در وی بی و نيز استفاده از فايلهای XML داشتيم اکنون می توانيم يک کلاس کامل و قدرتمند برای کار با بانکهای اطلاعاتی در ASP بنويسيم .

مراحل کار بصورت زير می باشد :

۱ - ابتدا يک پروژه از نوع ActiveX Dll ايجاد کنيد و نام آنرا DBase بگذاريد .

۲ - از بخش References مواردی را که در مباحث قبلی گفته شد به پروژه اضافه کنيد .

۳ - متغير Cn را برای کلاس بصورت زير تعريف کنيد :

Private Cn As ADODB.Connection



۴ - ابتدا يک متد به اسم InitialConnection برای کلاس می نويسيم . در اين متد ابتدا پارامترهای اتصال به بانک اطلاعاتی را مشابه آنچه در درس قبل گفته شد از يک فايل XML به اسم config.xml می خوانيم و با استفاده از آنها اتصال به بانک اطلاعاتی را باز می کنيم :

Public Sub InitialConnection()x
Dim userName, Password, database_name, server_name
Dim xmlf As NewXMLReader
Call xmlf.Initiate("config.xml")x
userName = xmlf.getvalue("DataBaseID") x
Password = xmlf.getvalue("DataBasePassword") x
database_name = xmlf.getvalue("DataBaseName") x
server_name = xmlf.getvalue("ServerAddress")x
Set Cn = ("ADODB.Connection")x
Cn.ConnectionString = "Provider=SQLOLEDB.1;Password=" & Password & ";Persist Security Info=True;User ID=" & userName & ";Initial Catalog=" & database_name & ";Data Source=" & server_name
Cn.Mode = adModeReadWrite
Cn.Open
End Sub

لازم به ذکر است که XMLReader کلاس کار با فايلهای XML است که در قسمت قبلی در مورد آن صحبت کرديم .

5 - برای بستن اتصال متد زير را به کلاس اضافه کنيد :

Public Sub EndConnection()x
Cn.Close
Set Cn = Nothing
End Sub

6 - برای اجرای query هايي که نتيجه آنها از نوع Boolean است ( مثل Insert و Delete ) متدی به اسم ExecuteUpdate را به کلاس اضافه کنيد :

Public Function ExecuteUpdate(ByVal squery As String) As Boolean
Dim myrs As New Recordset
If Not (makesInjection(squery)) Then
myrs.LockType = adLockOptimistic
Set myrs = Cn.Execute(squery) x
ExecuteUpdate = True
Exit Function
Else
ExecuteUpdate = False
Exit Function
End If
End Function

6 - برای اجرای query هايي که نتيجه آنها از نوع RecordSet است ( مثل Select ) متدی به اسم ExecuteQuery را به کلاس اضافه کنيد :

Public Function ExecuteQuery(ByVal squery As String) As Recordset
If Not (makesInjection(squery)) Then
Set ExecuteQuery = Cn.Execute(squery)x
Exit Function
Else
Set ExecuteQuery = Nothing
Exit Function
End If
End Function

همانطور که می بينيد در دو متد ExecuteUpdate و ExecuteQuery از تابعی به اسم makesInjection استفاده شده است . اين تابع بررسی می کند که آيا در query ورودی SQL-Injection وجود دارد يا نه .

- اين تابع موضوع قسمت بعدی اين سلسله مباحث می باشد .

+ حامد شیدائیان ; ٤:٤٢ ‎ب.ظ ; سه‌شنبه ۱٠ تیر ،۱۳۸٢
comment نظرات ()