SQL injection: una panoramica delle criticità nel contesto dell'accesso remoto all'informazione

La SQL Injection (SQLI) è una tecnica di attacco informatico conosciuta dal 1998, ma resta ancora oggi una delle maggiori minacce che affliggono l’accesso remoto a una base dati. Gode di una certa notorietà come veicolo d’attacco a siti web e in particolare ai web database attraverso le web application, ma vessa in generale qualsiasi database SQL non adeguatamente protetto.
Le tecniche ascrivibili alla famiglia SQLI permettono di fornire accesso non autorizzato a informazioni riservate, consentono l’esecuzione di operazioni di ogni sorta sul database e la manipolazione del server SQL, e agevolano l’impiego di ulteriori tecniche di hacking.
Nonostante la posizione preminente tra le vulnerabilità più frequenti tra le applicazioni di gestione dati, la SQLI è un problema spesso sottostimato - quando non del tutto ignorato - in sede di programmazione, sicurezza e ingegneria del software.
Alla luce della sua diffusione e potenziale pericolosità, la sottovalutazione di questa minaccia mi colpì sin da quando, studiando le basi di dati e il linguaggio di programmazione SQL/MySQL per sostenere l’esame di “Ingegneria del software e basi di dati”, me ne interessai per la prima volta.
L’intendimento di questa tesi è di presentare le principali tecniche di injection esistenti. Sarà proposta una classificazione delle SQLI e dei metodi di prevenzione. Qualche esempio di SQLIA verrà illustrato con degli esperimenti di laboratorio e si indicheranno alcuni strumenti software a disposizione di chi si occupa di sicurezza delle applicazioni web.
Il primo capitolo introduce per sommi capi le idee di base funzionali alla fruizione di questa dissertazione.
Nel secondo capitolo si contestualizza il problema delle vulnerabilità dovute a tecniche di SQL injection, valutandone diffusione a livello mondiale e impatto economico. Si propone inoltre una rassegna di casi balzati agli onori della cronaca.
Il terzo capitolo approfondisce aspetti salienti necessari alla comprensione delle SQL injection. Sono esposte nozioni quali compilazione e interpretazione, iniezione remota, applicazione web e SQL injection. In più si indica una possibile tassonomia delle SQL injection.
Il quarto capitolo è principalmente il resoconto di personali esperienze di laboratorio, effettuate per approfondire il meccanismo di funzionamento delle SQL injection. Sono presentati gli strumenti informatici utilizzati per realizzare gli esperimenti e si descrivono alcuni dei test eseguiti. Si espongono infine alcuni degli strumenti a disposizione degli esperti di sicurezza informatica.
Nel quinto capitolo si affronta il tema della prevenzione. Sono proposte alcune classificazioni dei metodi di individuazione e si descrivono le tecniche di difesa più in uso.
Il sesto capitolo espone le conclusioni di questa dissertazione. Si riassumono il lavoro svolto e gli obiettivi raggiunti. Sono altresì indicate possibili linee di sviluppo futuro per l’approfondimento della tematica delle SLI injection.
Considerato l’uso pervasivo delle applicazioni web per le più disparate operazioni (shopping online, banking, interazioni sociali nei social network, ecc.), garantire un accesso sicuro all’informazione è di basilare importanza.
Questo elaborato vuole essere uno strumento orientativo per chi si avvicina a questi temi. Innanzitutto sono stati enucleate le dinamiche che contraddistinguono le SQLI . Le principali tipologie di questo attacco sono state presentate e inquadrate nell’ambito di una classificazione sistematica. Altrettanto è stato fatto con le tecnologie di difesa.
Non si è voluto tralasciare un approccio pratico alla questione, istituendo un ambiente di test dove poter riprodurre alcune delle criticità in discussione. La questione è stata affrontata anche considerando l’approccio degli esperti di sicurezza e si sono visti alcuni degli strumenti a loro disposizione.