Laravel Türkiye Discord Kanalı Forumda kod paylaşılırken dikkat edilmesi gerekenler!Birlikte proje geliştirmek ister misiniz?

Sql injection

okanzen1

Merhaba Sql injection konusunu araştırıyorum. Projemde açık varmı onu bulmak istiyorum, projemde db bağlantılarımı Eloquent ile yapıyorum. Net bir şekilde Sql injection açıklarını nasıl bulabilir ve kapatabilirim?

mgsmus

okanzen1

// Yanlış
$user = DB::select("SELECT * FROM users WHERE id = $id LIMIT 1");

// Doğru
$user = DB::select("SELECT * FROM users WHERE id = ? LIMIT 1", [$id]);

// Yanlış
$users = User::whereRaw("created_at > $date")->get();

// Doğru
$users = User::whereRaw("created_at > ?", [$date])->get();

Üstteki gibi (DB, Query Builder, Eloquent farketmez) parameter binding yerine dışarıdan gelen değişkeni direkt SQL sorgusu içine alıyorsanız SQL injection yersiniz. Kendi oluşturduğunuz değişken bile olsa binding yapacaksınız. PDOStatement::execute() yönteminin kullanımına bakın:
https://www.php.net/manual/en/pdostatement.execute.php

Diğer bir konu ise Validation içindeki unique kuralı

// Yanlış
Rule::unique('users')->ignore($this->input('id'))

// Doğru ($user bir User)
Rule::unique('users')->ignore($user->id)

Dokümanda açıkça belirtmiş:
https://laravel.com/docs/11.x/validation#rule-unique

You should never pass any user controlled request input into the ignore method. Instead, you should only pass a system generated unique ID such as an auto-incrementing ID or UUID from an Eloquent model instance. Otherwise, your application will be vulnerable to an SQL injection attack.

Bu kurallara uyduğunuz sürece sorun yaşamazsınız.

okanzen1

@mgsmus
Anladım. Ben projeme pentest yaptırdım. Ve sonucunda da bu soruyu sorma ihtiyacı duydum, Bana sql injection ile ilgili olarak,
https://test/en/test1/test2?currency= (url adresleri test olarak değiştirdim) projemde bu urlyi belirterek,

-SQL injection is a type of security vulnerability that occurs when malicious actors can manipulate
SQL queries in a web application's input fields or parameters to execute malicious SQL commands.
(SQL enjeksiyonu, kötü niyetli aktörlerin manipüle edebildiği zaman ortaya çıkan bir tür güvenlik açığıdır.
Kötü amaçlı SQL komutlarını yürütmek için bir web uygulamasının giriş alanlarındaki veya parametrelerindeki SQL sorguları.)

-SQL injection can allow attackers to bypass authentication mechanisms or authorization checks and gain unauthorized access
to sensitive data stored in the database.(There is a possiblity of data breach due to this vulnerability)8
(SQL enjeksiyonu, saldırganların kimlik doğrulama mekanizmalarını veya yetkilendirme kontrollerini atlamasına ve veritabanında
saklanan hassas verilere yetkisiz erişim elde etmesine olanak tanıyabilir.(Bu güvenlik açığı nedeniyle veri ihlali olasılığı vardır))

-Vulnrability is there but Cloudflare is stopping to happen if cloudflare is attacked data will be breached
(Güvenlik açığı var ancak Cloudflare'in gerçekleşmesi duruyor, eğer cloudflare saldırıya uğrarsa veriler ihlal edilir)

Bana direk bu şekilde urlyi belirterek bir senaryo gönderdiler. Direk url üzerinden açığı engellemenin bir yolu var mı?.

mgsmus

okanzen1 Normal alınması gereken önlemleri aldıktan sonra gelen parametrelere regex uygulayarak sınırlandırabilirsiniz: https://laravel.com/docs/11.x/routing#parameters-regular-expression-constraints

Mesela

Route::get('/users/{id}', function (string $id) {
    // ...
})->where('id', '[0-9]+');

yaptınız diyelim. Eğer biri /users/1; DROP TABLE users -- denerse 404 Page Not Found hatası alır, daha değer içeri giremeden engellenir.