SQL injection -  kódbeszórás-os támadás

Ez olyan támadási technika mely nem csakis kizárólagosan a web alapú alkalmazásokat érinti, hanem minden adatbázis használó szoftvert. De mivel szinte miden CMS-alapú webportálnak van egy adatbázis kiszolgálója, ezért talán ők a legveszélyeztetettebbek. Egy IT biztonsággal foglalkozó nonprofit szervezet, az OWASP (Open Web Application Security Project) szerinti felmérés alapján, a web alapú alkalmazások ellen elkövetett támadások TOP 1-3 helyezésén, manapság minden hónapban ott van az SQL injection támadás.

Mi az az SQL injection támadás?

Mivel az adatbázisok (elsősorban RDBMS-ek relációs adatbázisok) az adatok kezeléséhez, hogy az adatokat le tudjuk kérdezni, tudjunk új adatot bevinni stb. egy egységes nyelvet használnak. Ezt nevezik Structured Query Language-nek röviden SQL-nek. Magyarul struktúrált lekérdező nyelv. Tehát minden adatbázis műveletet SQL nyelven írunk le. Ha a web alapú alkalmazásunk, legyen az egy webáruház tartalmaz olyan hibákat, ahol a kapott paraméter nincs megfelelően le ellenőrizve, és a paraméterben egy SQL nyelven írt scriptet be tud juttatni a támadó akkor akár az egész adbázis fölött hatalma lesz.

Ez volt a konyhanyelv, most nézzük kicsit gyakorlatiasabban.
Van egy URL-ünk http://pelda.cim.org/q=1
ez a webportál nyitó lapja. küldjük el neki az 1-es paraméter helyett ezt.
http://pelda.cim.org/q=1;insert into users (name,password) values ('hacker','hackerjelszo') 
Bár ez a szkript lehetett volna egy olyan script is ami lekérdezi az összes hírlevélre felíratkozott felhasználó összes adatát, vagy akár ki is listázhatná a jogosult felhasználókat.

A támadás kimenetele, a képzelet szüleménye. Bármit tehet a támadó, ha web alapú alkalmazásunk SQL injection támadásnak nem ellenálló.

Mit tehetünk, hogy ne érjen SQL injection támadás?

Két dolgot, az egyik legfontosabb. A fejlesztőtől kérjük, hogy legyen szíves és minden de minden GET-POST paramétert alaposan ellenőrizzen le, mielőtt azt feldolgozásra átadná az adatbázis kezelőnek. Másik hatékony védekezés lehet az Apache tűzfal a mod_security.

Azonban ha nem elég biztos, hogy biztonságos a webhelye, kérje a BE-ONLINE IT Biztonsági tanácsát.

Jelen cikknek nem szándéka a teljeskörű bemutatás az SQL injection támadásnak, pusztán személétető jelleggel íródott.
 

BE-ONLINE

www.be-online.skÜdvözlöm,
Horváth Zoltán vagyok, a Be-Online vezetője. Ön valószínűleg azért látogatta meg oldalunkat, mert egy olyan informatikai csapatra van szüksége, aki megbízható módon és profi szinten, precízen látja el munkáját az informatika minden területén. Azt kell mondjam; Jó helyen jár!

Tunning-tippek

web sablonok

Könyvjelző

Wikio

Állás ajánlat

Be-online magazinok

Tippek-Trükkök

Web marketing

Link ajánló

Vicces...

Két rendszergazda beszélget:
- Te, hogy lehetsz olyan hülye, hogy a kutyád nevét adod jelszónak?
- Miért, mi a bajod azzal, hogy kc#43_RP2edw ??

Biztonsági tippfüzet megrendelése

Biztonságos számítógép-használati tippek!

Most ingyen a tiéd!

Tudd meg mit kell tenned, hogy biztonságban legyél, a számítógép közelében. Ismerd meg milyen veszélyek leselkednek rád az internetezés közben!