Bug2Lab — SQL Injection через конкатенацию строки запроса

SQL Injection через конкатенацию строки запроса

Приложение строит SQL через строковую конкатенацию с параметром пользователя. Атакующий подсовывает фрагмент SQL и получает данные, которые не должен видеть. Фикс — всегда использовать подготовленные выражения (PreparedStatement).

Как выглядит атака

Эндпоинт /user?id=1 OR 1=1 возвращает вообще всех пользователей, хотя ожидался один.

GET /user?id=1%20OR%201=1
200 OK (application/json)

[
{"id":1,"email":"ceo@company.example"},
{"id":2,"email":"client@example.com"},
...
]

Почему это стало возможным

Код собирает SQL как строку. Значение из запроса вставляется прямо внутрь без параметров.

Проблемный код
String sql = "SELECT * FROM users WHERE id = " + req.getParameter("id");
Statement st = conn.createStatement();
ResultSet rs = st.executeQuery(sql); // ❌ уязвимо

Как это чинится правильно

Используем PreparedStatement, где параметры подставляются безопасно и не «ломают» структуру SQL.

Исправленный паттерн
String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1, req.getParameter("id")); // ✅ безопасная подстановка
ResultSet rs = ps.executeQuery();

bug2regressРегрессионный тест (стоп-кран)

Тест отправляет id=1 OR 1=1. Если сервис возвращает больше одного пользователя — билд стопается.

#!/bin/bash # sqlinj-check.sh RESP=$(curl -s "https://staging.example.internal/user?id=1%20OR%201=1") COUNT=$(echo "$RESP" | grep -o '"id":' | wc -l) if [ "$COUNT" -gt 1 ]; then echo "[BLOCK] SQLi: эндпоинт вернул больше одного пользователя" exit 1 fi echo "[OK] Параметризованный запрос защищает от SQLi" exit 0

Это фиксирует стандарт: никаких строковых конкатенаций для SQL вообще.

Проверка пониманияГде баг?

Запрос к БД собирался через конкатенацию строки и параметра пользователя.

Использовался неподготовленный Statement вместо PreparedStatement.

В коде не использовался TLS.

Фикс — перейти на параметризованные запросы с плейсхолдерами ?.

Стандарт:ни один SQL-запрос не строится через конкатенацию строк с пользовательским вводом. Никогда.

Теория (по желанию) SQL-инъекция = мгновенный слив базы

💉1. Что делает атакующий?

Он передаёт не просто «id=123», а кусок SQL, например 1 OR 1=1. Наш код вслепую вклеивает это внутрь запроса. В итоге база выполняет уже не «где id=1», а «верни всё».

📤2. Чем это опасно бизнесу?

📥 Утечка всех пользователей, писем, номеров телефонов, транзакций.
🧾 Слив PII → обязательные уведомления регуляторам, штрафы, репутационный удар.
💳 Потенциально — чтение платёжных следов и истории операций.

Чаще всего это выглядит в прессе как «база клиентов компании Х утекла в сеть».

🧪3. Почему это появляется?

Надо было «быстро сделать фильтр». Вставили параметр прямо в текст SQL.
Код потом уехал в прод без ревью безопасности.
Через год никто уже не помнит, что там внутри конкатенация строки.

То есть это не «хакер 007», это «быстрый прототип стал продом».

📏4. Новый стандарт команды

❌ Запрещена ручная сборка SQL через + userInput.
✅ Всегда PreparedStatement / ORM с биндингом параметров.
🚦 Регрессионный тест в пайплайне, который пытается сделать простую инъекцию и валит билд, если получилось.

И это больше не вопрос «надеюсь, никто не забудет», это техническое правило.

✅5. Что говорит руководству

Да, SQLi нашли.
Да, команда обучена, как её не допускать в коде.
Да, у нас теперь есть стоп-кран в CI/CD.

Это уже не «мы понадеялись», это «мы зафиксировали стандарт и автоматическую проверку».

bug2regressРегрессионный тест (стоп-кран)

Проверка пониманияГде баг?

Теория (по желанию) SQL-инъекция = мгновенный слив базы раскрыть

Теория (по желанию) SQL-инъекция = мгновенный слив базы