SQL (Structured Query Language) on yleinen kyselykieli jolla sovellukset voivat jutella tietokantansa kanssa. Sovellukset käyttävät tietokantaa tietojen tallennukseen ja hakemiseen.

Käydään läpi muutama perusasia. Alla on tarkkaan valikoitu lista asioita joita nimenomaan hakkerit tarvitsevat SQL-injektiohyökkäyksiä varten.

). Kokeile ajaa se! Hakatemiassa on selaimessa emuloitu SQL-tietokanta jolla voit leikkiä.

Jos haluat palauttaa kaikki sarakkeet, kirjoita sarakevalitsimeen tähti (

Yleensä et halua palauttaa ihan jokaista riviä tietokannasta, vaan suodattaa ne jonkun hakukriteerin perusteella. Tähän tarkoitukseen on 

Jos haluat järjestellä tulokset vaikkapa käyttäjän nimen perusteella, voit tehdä niin 

 -lausekkeen perään voi lisätä järjestyksen, ensimmäisestä viimeiseen (

, oletus) tai viimeisestä ensimmäiseen (

, joka tarkoittaisi että "järjestä ensimmäisen sarakkeen mukaan" (joka sattuu kyselyssä olemaan 

Jos haluat tehdä kaksi hakua, vaikkapa "nimi kaikista käyttäjistä" ja "nimi kaikista eläimistä", ja palauttaa molempien kyselyiden tulokset yhdistettynä, voit käyttää 

 merkeillä, joka katkaisee kyselyn ja jonka jälkeen loput "kyselystä" tulkitaan muistiinpanoksi, ei SQL:ksi. On tärkeää huomata, että 

kommentin jälkeen tulee aina välilyönti, muuten SQL on väärän muotoista eikä kysely mene läpi (se saattaa mennä läpi tässä emuloidussa SQL-ympäristössä mutta yleensä oikeassa tietokannassa se ei mene läpi).

Kommentteja voi tehdä joskus, vähän tietokantaratkaisusta riippuen, myös risuaidalla (#).

Kommentti on mahdollista avata ja sulkea kesken kyselyn käyttämällä 

SQL-injektio, kuten kaikki muutkin injektiohaavoittuvuudet, aiheutuu siitä että hyökkääjä päästetään muokkaamaan protokollan rakennetta, ja johtaa siihen että hyökkääjä pääsee protokollan sallimissa rajoissa tekemään ikävyyksiä sovelluksessa. Protokolla on tässä tapauksessa SQL ja ikävyydet yleensä käytännössä tarkoittavat hyökkääjän mielivaltaista pääsyä tietokantaan ja joskus koko palvelimelle.

Leikitään että meillä on sovellus, johon käyttäjä voi kirjautua sähköpostiosoitteella ja salasanalla.

Sovelluksen koodi voisi olla seuraavanlainen.

Kun käyttäjä koittaa kirjautua osoitteella john.doe@example.com ja oikealla salasanalla (s3cr3t), tietokanta palauttaa yhden rivin ja sovellus kirjaa käyttäjän sisään kyseisen rivin sisältämällä käyttäjätunnisteella. Kaikki toimii tässä vaiheessa ihan oikein.

Kun käyttäjä koittaa kirjautua väärällä salasanalla, tietokanta ei palauta yhtään riviä, ja käyttäjälle annetaan virhe että kirjautuminen epäonnistui. Edelleen kaikki toimii kuten pitää.

Mutta mitä tapahtuu, jos käyttäjä antaa salasanan jossa on hipsu (')? Kysely ei enää menekään läpi, ja sovellus kaatuu hallitsemattomasti, koska yhtäkkiä SQL ei olekaan enää oikeanmuotoista ja tietokantakysely epäonnistuu. Hipsuja on yksi liikaa. Tietokantapalvelin odotti että uudellekin hipsulle löytyisi vastakappale. Jos lähetät sovellukselle hipsun (tai lainausmerkit), ja saat virheilmoituksen takaisin, epäile aina SQL-injektiohaavoittuvuutta.

Entäs jos hyökkääjä muokkaakin SQL:ää haluamaansa muotoon ja saakin sen toimimaan uudestaan? Jos käyttäjä antaisikin salasanan 

Kysely palauttaakin yhtäkkiä kaikki käyttäjät tietokannasta, ja sovellus virheellisesti kirjaa käyttäjän sisään ensimmäisenä käyttäjänä joka tietokannasta sattui palautumaan, vaikkei salasana ollut oikea. 1=1 on aina totta joten jokainen rivi palautettiin, ja sovelluksen itse lisäämä hipsu saatiin pois rikkomasta kyselyn rakennetta kommentoimalla se ulos.

Tämä oli yksinkertainen, ja voisi sanoa että hyvin klassinen, esimerkki SQL-injektiohaavoittuvuudesta. Käymme kurssilla läpi lukuisia tekniikoita haavoittuvuuden löytämiseksi ja hyväksikäyttämiseksi.

Paras tapa on olla rakentamatta SQL:ää käsin ollenkaan, ja antaa modernin ohjelmointikirjaston (ORM / Object Relational Mapper) hoitaa matalan tason keskustelu tietokannan kanssa. Toinen vaihtoehto on käyttää kirjastoa (prepared statements), jolla voi turvallisesti parameterisoida SQL-kyselyitä, niin että kirjasto hoitaa vaarallisten merkkien (kuten tässä tapauksessa hipsuilla oli mahdollista "karata" merkkijonon sisältä kyselyn rakenteeseen) käsittelyn.

Tässä labrassa järjestelmänvalvoja sattuu olemaan ensimmäinen tietokantaan luotu käyttäjä. Pakottamalla sisäänkirjautumiskyselyn palauttamaan ensimmäinen käyttäjä, voit kirjautua sisään järjestelmänvalvojana. Helpoin tapa tehdä tämä on saada kysely palauttamaan kaikki käyttäjät, koska sovellus valitsee palautuneista riveistä ensimmäisen.

Tässä labrassa opit SQL-injektio -haavoittuvuuksien hyödyntämisen perusteet. Labra on suunniteltu näyttämään mitä kulissien takana tapahtuu kun käyttäjä kirjataan sisään. Näet SQL-kyselyt ja kyselyiden yhteydessä tapahtuvat virheet.

MySQLi Tunnistautumisen Ohittaminen 1

## 

---

## Mikä SQL?

SQL (Structured Query Language) on yleinen kyselykieli jolla sovellukset voivat jutella tietokantansa kanssa. Sovellukset käyttävät tietokantaa tietojen tallennukseen ja hakemiseen.

Käydään läpi muutama perusasia. Alla on tarkkaan valikoitu lista asioita joita nimenomaan hakkerit tarvitsevat SQL-injektiohyökkäyksiä varten.

---

## Yksinkertainen esimerkki

Tässä on kysely joka hakee (**SELECT**) nimi- ja sähköposti (**name, email**) -sarakkeet käyttäjätaulusta (**FROM users**). Kokeile ajaa se! Hakatemiassa on selaimessa emuloitu SQL-tietokanta jolla voit leikkiä.

@embed 7effa0898010

---

## Kaikki sarakkeet

Jos haluat palauttaa kaikki sarakkeet, kirjoita sarakevalitsimeen tähti (**\***).

@embed 519ec290e3ef

---

## Tulosten suodattaminen

Yleensä et halua palauttaa ihan jokaista riviä tietokannasta, vaan suodattaa ne jonkun hakukriteerin perusteella. Tähän tarkoitukseen on **WHERE**-lauseke.

@embed f5260897e816

---

## Tulosten järjestäminen

Jos haluat järjestellä tulokset vaikkapa käyttäjän nimen perusteella, voit tehdä niin **ORDER BY** -lausekkeella.

@embed 50f2785dae47

**ORDER BY** -lausekkeen perään voi lisätä järjestyksen, ensimmäisestä viimeiseen (**ASC**, oletus) tai viimeisestä ensimmäiseen (**DESC**).

@embed 10ec260dda6e

**ORDER BY** voi ottaa myös numeron, vaikka **1**, joka tarkoittaisi että "järjestä ensimmäisen sarakkeen mukaan" (joka sattuu kyselyssä olemaan **id**).

@embed beb21afa08a8

---

## Kyselyiden yhdistäminen

Jos haluat tehdä kaksi hakua, vaikkapa "nimi kaikista käyttäjistä" ja "nimi kaikista eläimistä", ja palauttaa molempien kyselyiden tulokset yhdistettynä, voit käyttää **UNION SELECT** -lauseketta.

@embed cce6d5e6bd9e

---

## Kommentit

SQL-kyselyyn voi lisätä kommentin **--** merkeillä, joka katkaisee kyselyn ja jonka jälkeen loput "kyselystä" tulkitaan muistiinpanoksi, ei SQL:ksi. On tärkeää huomata, että **-- **kommentin jälkeen tulee aina välilyönti, muuten SQL on väärän muotoista eikä kysely mene läpi (se saattaa mennä läpi tässä emuloidussa SQL-ympäristössä mutta yleensä oikeassa tietokannassa se ei mene läpi).

@embed d5a0f0d7d947

Kommentteja voi tehdä joskus, vähän tietokantaratkaisusta riippuen, myös risuaidalla (#).

Kommentti on mahdollista avata ja sulkea kesken kyselyn käyttämällä **/\* kommentti \*/ **muotoa.

@embed 126ff8079e7f

---

## Mikä sitten on SQL-injektio?

SQL-injektio, kuten kaikki muutkin injektiohaavoittuvuudet, aiheutuu siitä että hyökkääjä päästetään muokkaamaan protokollan rakennetta, ja johtaa siihen että hyökkääjä pääsee protokollan sallimissa rajoissa tekemään ikävyyksiä sovelluksessa. Protokolla on tässä tapauksessa SQL ja ikävyydet yleensä käytännössä tarkoittavat hyökkääjän mielivaltaista pääsyä tietokantaan ja joskus koko palvelimelle.

---

## Käytännön esimerkki

Leikitään että meillä on sovellus, johon käyttäjä voi kirjautua sähköpostiosoitteella ja salasanalla.

Sovelluksen koodi voisi olla seuraavanlainen.

```python
def login_nappia_painettu():
  email = email_tekstikentan_arvo()
  password = salasana_kentan_arvo()
  kysely = f"SELECT id FROM users WHERE email='{email}' AND password='{password}'"
  tietokannasta_palautuneet_rivit = tee_sql_kysely(kysely)
  if len(tietokannasta_palautuneet_rivit) == 0:
    uudelleenohjaa_kayttaja("/kirjautuminen-epaonnistui")
  else:
    ensimmaisen_palautuneen_kayttajan_id = tietokannasta_palautuneet_rivit[0]
    kirjaa_kayttaja_sisaan(ensimmaisen_palautuneen_kayttajan_id)
  uudelleenohjaa_kayttaja("/tervetuloa")
```

Kun käyttäjä koittaa kirjautua osoitteella john.doe@example.com ja oikealla salasanalla (s3cr3t), tietokanta palauttaa yhden rivin ja sovellus kirjaa käyttäjän sisään kyseisen rivin sisältämällä käyttäjätunnisteella. Kaikki toimii tässä vaiheessa ihan oikein.

@embed 3cb910f67c0b

Kun käyttäjä koittaa kirjautua väärällä salasanalla, tietokanta ei palauta yhtään riviä, ja käyttäjälle annetaan virhe että kirjautuminen epäonnistui. Edelleen kaikki toimii kuten pitää.

@embed 4f57b3e613a0

Mutta mitä tapahtuu, jos käyttäjä antaa salasanan jossa on hipsu (')? Kysely ei enää menekään läpi, ja sovellus kaatuu hallitsemattomasti, koska yhtäkkiä SQL ei olekaan enää oikeanmuotoista ja tietokantakysely epäonnistuu. Hipsuja on yksi liikaa. Tietokantapalvelin odotti että uudellekin hipsulle löytyisi vastakappale. Jos lähetät sovellukselle hipsun (tai lainausmerkit), ja saat virheilmoituksen takaisin, epäile aina SQL-injektiohaavoittuvuutta.

@embed 669c6fafe81d

Entäs jos hyökkääjä muokkaakin SQL:ää haluamaansa muotoon ja saakin sen toimimaan uudestaan? Jos käyttäjä antaisikin salasanan **kissa' OR 1=1-- **?

@embed 3720aa85170e

Kysely palauttaakin yhtäkkiä kaikki käyttäjät tietokannasta, ja sovellus virheellisesti kirjaa käyttäjän sisään ensimmäisenä käyttäjänä joka tietokannasta sattui palautumaan, vaikkei salasana ollut oikea. 1=1 on aina totta joten jokainen rivi palautettiin, ja sovelluksen itse lisäämä hipsu saatiin pois rikkomasta kyselyn rakennetta kommentoimalla se ulos.

Tämä oli yksinkertainen, ja voisi sanoa että hyvin klassinen, esimerkki SQL-injektiohaavoittuvuudesta. Käymme kurssilla läpi lukuisia tekniikoita haavoittuvuuden löytämiseksi ja hyväksikäyttämiseksi.

---

## Miten haavoittuvuudelta voi suojautua?

Paras tapa on olla rakentamatta SQL:ää käsin ollenkaan, ja antaa modernin ohjelmointikirjaston (ORM / Object Relational Mapper) hoitaa matalan tason keskustelu tietokannan kanssa. Toinen vaihtoehto on käyttää kirjastoa (prepared statements), jolla voi turvallisesti parameterisoida SQL-kyselyitä, niin että kirjasto hoitaa vaarallisten merkkien (kuten tässä tapauksessa hipsuilla oli mahdollista "karata" merkkijonon sisältä kyselyn rakenteeseen) käsittelyn.

@exercise 79308c3d77b6


Mitä ovat SQL-injektiot?

SQL-injektio lienee syynä valtaosaan vakavista tietomurroista, pääasiallisesti sen takia että haavoittuvuus on suuressa sovelluksessa erittäin todennäköinen jos teknologiavalinnat ovat huonot, ja seuraus on yleensä koko tietokannan vuotaminen hyökkääjälle.

Mitä ovat SQL-injektiot?

Hakkeroinnin oppiminen alkaa tästä