Blind SQLi: ডেটাবেস থেকে সংবেদনশীল তথ্য বের করে আনার অ্যাডভান্সড পদ্ধতি!

SQL Injection-এর মূলত তিনটি প্রধান শ্রেণী রয়েছে। In-Band SQLi হলো সবচেয়ে সাধারণ যেখানে আক্রমণকারী একই Channel-এ Query Send করে এবং Result গ্রহণ করে। এর দুটি Sub-Type— Error-Based যেখানে Database Error Message-এ তথ্য Leak হয়, এবং Union-Based যেখানে UNION Statement দিয়ে অন্য Query-র Result বর্তমান Output-এর সাথে যুক্ত করা হয়।

Inferential বা Blind SQLi-তে আক্রমণকারী Direct Output পান না। এর দুটি প্রধান Variant— Boolean-Based এবং Time-Based। সবশেষে Out-of-Band SQLi যেখানে আক্রমণকারী Database থেকে Data Exfiltrate করেন একটি ভিন্ন Channel-এর মাধ্যমে যেমন DNS Query বা HTTP Request।

আধুনিক Application-এ Custom Error Page, Output Filtering এবং Generic Response থাকায় Error-Based বা Union-Based Attack প্রায়ই কাজ করে না। তখন Blind Technique-ই একমাত্র উপায়।

Boolean-Based Blind SQLi-র মূল ধারণা সহজ— আক্রমণকারী এমন Query Inject করেন যা একটি True বা False Condition Return করে। Application-এর Response এই Condition-এর ভিত্তিতে পরিবর্তিত হয়। যেমন True হলে Page Normal দেখায়, False হলে আলাদা দেখায়— হয়তো Result না দেখানো, ভিন্ন Message, বা Different HTTP Status Code।

ধরা যাক একটি Vulnerable URL আছে— example.com/product?id=1। যদি আমরা পাঠাই id=1 AND 1=1 এবং Response স্বাভাবিক, তারপর id=1 AND 1=2 পাঠাই এবং Response ভিন্ন— এটি Blind SQLi-র প্রথম Confirmation।

এখন তথ্য বের করার জন্য Binary Search ব্যবহার করা হয়। ধরা যাক আমরা Current Database-এর নাম জানতে চাই। প্রথমে Length নির্ধারণ করি— id=1 AND LENGTH(DATABASE())>5। যদি True হয়, আরও বড় Value পরীক্ষা করি। যখন সঠিক Length জানি, প্রতিটি Character পরীক্ষা করি— id=1 AND ASCII(SUBSTRING(DATABASE(),1,1))>77।

ASCII-র Range ৩২-১২৬ Printable Character। Binary Search ব্যবহার করলে প্রতিটি Character জানতে সর্বোচ্চ ৭ Query লাগে। ১০-Character Database Name বের করতে প্রায় ৭০ Query, যা Automation দিয়ে কয়েক সেকেন্ডে সম্ভব।

এই কৌশল Table Name, Column Name, এবং সবশেষে Data Extraction-এর জন্য Recursive ভাবে প্রয়োগ করা হয়। MySQL-এ INFORMATION_SCHEMA Database থেকে সব Metadata পাওয়া যায়।

কিছু পরিস্থিতিতে Application-এর Response True এবং False Condition-এ একই থাকে। তখন Boolean-Based কাজ করে না। এখানে Time-Based Blind SQLi-র আগমন। আক্রমণকারী Database-কে Specifically Delay করতে বলেন একটি নির্দিষ্ট Condition সত্য হলে।

MySQL-এ SLEEP() Function ব্যবহার করা যায়— id=1 AND IF(ASCII(SUBSTRING(DATABASE(),1,1))>77, SLEEP(5), 0)। যদি Condition True হয়, Response আসতে ৫ সেকেন্ড বেশি লাগবে। PostgreSQL-এ pg_sleep(), SQL Server-এ WAITFOR DELAY '0:0:5', Oracle-এ DBMS_LOCK.SLEEP() ব্যবহৃত হয়।

Time-Based Attack-এর কয়েকটি চ্যালেঞ্জ আছে। Network Latency-র কারণে Response Time-এ Natural Variation থাকে। তাই Single Sample-এর ওপর নির্ভর না করে একাধিকবার পরিমাপ করে Average নেওয়া হয়। ৫ সেকেন্ড Delay সাধারণত যথেষ্ট আলাদা করার জন্য, কিন্তু High Latency Network-এ ১০ বা ২০ সেকেন্ড ব্যবহার করতে হতে পারে।

Time-Based Attack-এ একটি বড় সীমাবদ্ধতা হলো গতি। Boolean-Based-এ Response Instant, কিন্তু Time-Based-এ প্রতি Query-তে ৫-১০ সেকেন্ড অপেক্ষা করতে হয়। একটি বড় Database Extract করতে ঘণ্টার পর ঘণ্টা লাগতে পারে।

Heavy Query-ও Time-Based Attack-এ ব্যবহার করা যায়। যদি SLEEP Function Filtered থাকে, BENCHMARK(10000000, MD5('A'))-এর মতো Computationally Expensive Query Database-কে ব্যস্ত রাখতে পারে।

কখনো কখনো Application এমনভাবে কনফিগার করা থাকে যে Time-Based Attack-ও কাজ করে না— হয়তো Asynchronous Processing, Query Timeout-এর কারণে। তখন Out-of-Band Attack ব্যবহৃত হয়।

Microsoft SQL Server-এর xp_dirtree বা xp_fileexist Function ব্যবহার করে আক্রমণকারী Database-কে একটি Attacker-Controlled Server-এ Connection Initiate করাতে পারেন। MySQL-এ LOAD_FILE বা SELECT INTO OUTFILE, Oracle-এ UTL_HTTP, PostgreSQL-এ COPY Statement-এর মাধ্যমে DNS বা HTTP Request পাঠানো যায়।

উদাহরণস্বরূপ, Oracle-এ এমন Query Inject করা যেতে পারে যা UTL_INADDR.GET_HOST_ADDRESS-এর মাধ্যমে আক্রমণকারীর Domain-এ DNS Query পাঠায়, এবং Query-তে Data Subdomain হিসেবে Encode করা থাকে। Attacker-এর Burp Collaborator বা Custom DNS Server-এ এই Request Log হয়।

Out-of-Band Attack দ্রুত কারণ একটি Query-তেই অনেক Data বের করা যায়। কিন্তু এটি কাজ করতে Database Server-এর Outbound Network Access প্রয়োজন।

কিছু Database যেমন SQL Server, PostgreSQL Stacked Query সমর্থন করে যেখানে একই Connection-এ একাধিক Statement Semicolon দিয়ে Separate করে চালানো যায়। এটি Blind Context-এ Data Modification, INSERT, UPDATE, DELETE-এর সুযোগ দেয়।

Second-Order SQLi একটি Subtle Variant। প্রথম Request-এ Malicious Input Database-এ সংরক্ষিত হয় কিন্তু সাথে সাথে Execute হয় না। পরে অন্য কোনো Query এই Stored Input Concatenate করে Execute করলে Injection Trigger হয়। User Registration-এর সময় Username-এ Malicious Payload, পরে User Profile View-এর সময় Triggered— এটি Second-Order-এর সাধারণ Pattern।

Manual-ভাবে Blind SQLi Extraction অসম্ভব নয় কিন্তু সময়সাপেক্ষ। sqlmap হলো সবচেয়ে জনপ্রিয় Automated SQL Injection Tool। এটি Boolean-Based, Time-Based, Union-Based, Error-Based, Stacked, এবং Out-of-Band সব ধরনের Technique সমর্থন করে।

sqlmap-এ Threading সমর্থন থাকায় একাধিক Request Parallel-এ চালানো যায়। --technique Flag দিয়ে নির্দিষ্ট Technique নির্বাচন করা যায়। --dbs দিয়ে Database List, --tables দিয়ে Table List, --dump দিয়ে Data Extract করা যায়।

WAF Bypass-এর জন্য sqlmap-এ Tamper Script আছে। space2comment, between, randomcase, charunicodeencode-এর মতো Tamper Script Common WAF Pattern Bypass করে। --tamper Flag দিয়ে এগুলো প্রয়োগ করা হয়।

NoSQLMap NoSQL Database যেমন MongoDB-র জন্য বিশেষভাবে ডিজাইন করা। Ghauri একটি নতুন Modern Alternative যা sqlmap-এর কিছু সীমাবদ্ধতা দূর করে।

Burp Suite Professional-এর Intruder এবং Repeater Tool ম্যানুয়াল Blind SQLi Testing-এর জন্য চমৎকার। Burp Collaborator Out-of-Band Attack সহজ করেছে।

২০০৯ সালে Heartland Payment Systems থেকে ১৩ কোটি Credit Card Number চুরি হয়েছিল। আক্রমণকারীরা প্রথমে SQL Injection ব্যবহার করে নেটওয়ার্কে প্রবেশ করেছিলেন। তখন এটি ইতিহাসের বৃহত্তম Data Breach ছিল।

২০১২ সালে Yahoo Voices-এর ৪.৫ লাখ User Credential Plain Text-এ Leak হয়। SQL Injection ছিল মূল কারণ। ২০১১ সালে Sony PlayStation Network-এ ৭৭ মিলিয়ন Account Compromise-এর পেছনেও SQL Injection দায়ী ছিল।

২০২৩ সালে MOVEit Transfer-এর CVE-2023-34362 দুর্বলতা CL0p Ransomware Group ব্যবহার করে শত শত সংস্থার ডেটা চুরি করেছে। এটি একটি SQL Injection Vulnerability ছিল যা Authenticated Attacker-কে Arbitrary SQL Execute করার সুযোগ দিত।

Parameterized Query

SQL Injection-এর সবচেয়ে কার্যকর প্রতিরোধ হলো Parameterized Query বা Prepared Statement ব্যবহার। User Input কখনো সরাসরি SQL Query-তে Concatenate করবেন না। বরং Placeholder ব্যবহার করুন এবং Database Driver Input-কে Data হিসেবে Treat করবে, Code হিসেবে নয়।

PHP PDO-তে prepare() এবং bindParam() ব্যবহার করুন। Java-তে PreparedStatement Class। Python-এ DB-API 2.0 Parameter Substitution। C# ADO.NET-এ SqlParameter। প্রতিটি Modern Database Library এই Pattern সমর্থন করে।

ORM যেমন Hibernate, SQLAlchemy, Entity Framework, Django ORM প্রাকৃতিকভাবে Parameterized Query ব্যবহার করে। কিন্তু সতর্ক থাকতে হবে— Raw SQL Query Method (যেমন Django-র raw() বা SQLAlchemy-র text()) Misuse করলে Vulnerability পুনরায় আসতে পারে।

Input Validation এবং Sanitization

Validation-এর সময় Whitelist Approach গ্রহণ করুন। ID Field-এ শুধু Integer Accept করুন। Name Field-এ শুধু Letter এবং Space। ইমেইল Field-এ RFC-Compliant Format Validation।

Sanitization-কে Primary Defense হিসেবে ব্যবহার করবেন না। Sanitization জটিল এবং Bypass-এর সুযোগ থাকে। তবে Defense in Depth হিসেবে দ্বিতীয় স্তর হিসেবে এটি কার্যকর।

Stored Procedure ব্যবহার করুন কিন্তু সতর্কতার সাথে। Dynamic SQL Concatenation Inside Stored Procedure SQL Injection-এর জন্য vulnerable। Parameterized Stored Procedure ব্যবহার করুন।

Database-Level Defense

Database User-এর Permission সীমিত রাখুন। Application যেই Account দিয়ে Connect করে তার শুধু প্রয়োজনীয় Permission থাকবে। Read-Only Application User-কে কখনো DROP, ALTER, GRANT-এর Permission দেবেন না।

Information Schema Access সীমিত করুন। অনেক Blind SQLi Extraction INFORMATION_SCHEMA-এর ওপর নির্ভর করে। MySQL-এ FILE Privilege এবং SQL Server-এ xp_cmdshell সম্পূর্ণ Disable রাখুন।

Database Activity Monitoring সক্রিয় করুন। অস্বাভাবিক Query Pattern, Excessive Failed Login, বা Information Schema-তে High Frequency Query Detect এবং Alert তৈরি করুন।

WAF এবং Runtime Protection

Web Application Firewall যেমন Cloudflare, AWS WAF, ModSecurity OWASP Core Rule Set দিয়ে অনেক SQL Injection Attempt Block করে। কিন্তু WAF কে Primary Defense হিসেবে নয়, বরং Last Line of Defense হিসেবে দেখুন।

RASP বা Runtime Application Self-Protection টুল যেমন Contrast Security, Imperva RASP Code Level-এ Attack Detect করে।

Continuous Testing

CI/CD Pipeline-এ SAST এবং DAST Integrate করুন। Semgrep, SonarQube, Checkmarx Static Analysis-এ SQL Injection Pattern Detect করে। OWASP ZAP, Burp Suite Enterprise Dynamic Testing-এ ব্যবহার করুন।

Regular Penetration Testing এবং Bug Bounty Program চালু করুন। Annual Security Audit এবং Code Review বাধ্যতামূলক করুন।