polovnicky dennik | Elektronická kniha návštev poľovného revíru

SQL injection -  kódbeszórás-os támadás

Ez olyan támadási technika mely nem csakis kizárólagosan a web alapú alkalmazásokat érinti, hanem minden adatbázis használó szoftvert. De mivel szinte miden CMS-alapú webportálnak van egy adatbázis kiszolgálója, ezért talán ők a legveszélyeztetettebbek. Egy IT biztonsággal foglalkozó nonprofit szervezet, az OWASP (Open Web Application Security Project) szerinti felmérés alapján, a web alapú alkalmazások ellen elkövetett támadások TOP 1-3 helyezésén, manapság minden hónapban ott van az SQL injection támadás.

Mi az az SQL injection támadás?

Mivel az adatbázisok (elsősorban RDBMS-ek relációs adatbázisok) az adatok kezeléséhez, hogy az adatokat le tudjuk kérdezni, tudjunk új adatot bevinni stb. egy egységes nyelvet használnak. Ezt nevezik Structured Query Language-nek röviden SQL-nek. Magyarul struktúrált lekérdező nyelv. Tehát minden adatbázis műveletet SQL nyelven írunk le. Ha a web alapú alkalmazásunk, legyen az egy webáruház tartalmaz olyan hibákat, ahol a kapott paraméter nincs megfelelően le ellenőrizve, és a paraméterben egy SQL nyelven írt scriptet be tud juttatni a támadó akkor akár az egész adbázis fölött hatalma lesz.

Ez volt a konyhanyelv, most nézzük kicsit gyakorlatiasabban.
Van egy URL-ünk http://pelda.cim.org/q=1
ez a webportál nyitó lapja. küldjük el neki az 1-es paraméter helyett ezt.
http://pelda.cim.org/q=1;insert into users (name,password) values ('hacker','hackerjelszo')
 
Bár ez a szkript lehetett volna egy olyan script is ami lekérdezi az összes hírlevélre felíratkozott felhasználó összes adatát, vagy akár ki is listázhatná a jogosult felhasználókat.

A támadás kimenetele, a képzelet szüleménye. Bármit tehet a támadó, ha web alapú alkalmazásunk SQL injection támadásnak nem ellenálló.

Mit tehetünk, hogy ne érjen SQL injection támadás?

Két dolgot, az egyik legfontosabb. A fejlesztőtől kérjük, hogy legyen szíves és minden de minden GET-POST paramétert alaposan ellenőrizzen le, mielőtt azt feldolgozásra átadná az adatbázis kezelőnek. Másik hatékony védekezés lehet az Apache tűzfal a mod_security.

Azonban ha nem elég biztos, hogy biztonságos a webhelye, kérje a BE-ONLINE IT Biztonsági tanácsát.

Jelen cikknek nem szándéka a teljeskörű bemutatás az SQL injection támadásnak, pusztán személétető jelleggel íródott.

 

Mobil fejlesztés

mobil fejlesztésA legdinamikusabban fejlődő informatikai ágazat, a mobil alkalmazások területe. Több milliós felhasználói táborral. Mit jelent ez? Nos ha még nincs mobil alkalmazásod, akkor itt az ideje belevágni a mobil fejlesztésbe. Naponta több millió mobil app-ot töltenek le a felhasználók a régiónkból. Tudod hány millió potenciális ügyfél ez? Ha érdekel a mobil fejlesztés keressd a PlixApp Kft.-t. Ők nagyon otthon vannak a témában.

BE-ONLINE

www.be-online.skÜdvözlöm,
Horváth Zoltán vagyok, a Be-Online vezetője. Ön valószínűleg azért látogatta meg oldalunkat, mert egy olyan informatikai csapatra van szüksége, aki megbízható módon és profi szinten, precízen látja el munkáját az informatika minden területén. Azt kell mondjam; Jó helyen jár!

web sablonok

Állás ajánlat

Rendszergazda Győr

Rendszergazda Győr

PlixApp_200x00

Informatikai és rendszergazdai segítség Győrben. Bízza az informatikai rendszerét a profi rendszergazda, hozzáértésére. Miért fizetne fölöslegesen?

POĽOVNÍCKY DENNÍK

Elektronická kniha návštev poľovného revíru

polovnicky-dennik

Poľovnícky denník

Be-online magazinok

Vicces...

Két rendszergazda beszélget:
- Te, hogy lehetsz olyan hülye, hogy a kutyád nevét adod jelszónak?
- Miért, mi a bajod azzal, hogy kc#43_RP2edw ??

Biztonsági tippfüzet megrendelése

Biztonságos számítógép-használati tippek!

Most ingyen a tiéd!

Tudd meg mit kell tenned, hogy biztonságban legyél, a számítógép közelében. Ismerd meg milyen veszélyek leselkednek rád az internetezés közben!