Obsah:
Definícia - Čo znamená SQL Injection Attack?
Útok so vstrekovaním SQL je pokus o vydanie príkazov SQL do databázy prostredníctvom webového rozhrania. Takto získate informácie o uloženej databáze vrátane používateľských mien a hesiel.
Táto technika vkladania kódu využíva slabiny zabezpečenia v databázovej vrstve aplikácie. Hackeri využívajú zle kódované webové stránky a webové aplikácie na zadávanie príkazov SQL, napríklad využívajú prihlasovací formulár na získanie prístupu k údajom uloženým v databáze.
Jednoducho povedané, k SQL injekčným útokom dochádza, pretože užívateľské vstupné polia umožňujú príkazom SQL prechádzať a priamo dotazovať databázu.
Techopedia vysvetľuje SQL Injection Attack
Moderné webové stránky zahŕňajú prihlasovacie stránky, vyhľadávacie stránky, formuláre podpory a žiadostí o produkty, nákupné vozíky, formuláre so spätnou väzbou atď.
Všetky tieto funkcie webových stránok sú všetky citlivé na útoky SQL injekciou kvôli dostupnosti polí pre vstup používateľov. Útočník môže ľahko vykonať ľubovoľné príkazy SQL, ak sú tieto webové stránky náchylné na injekciu SQL. Môže to ohroziť integritu databáz a vystaviť citlivé údaje.
Na základe použitej back-end databázy môžu zraniteľné miesta v SQL SQL spôsobiť rôzne úrovne injekčných útokov. Útočníci môžu manipulovať s existujúcimi dopytmi, používať podvýbery alebo pridávať ďalšie otázky. V niektorých prípadoch je dokonca možné čítať alebo zapisovať do súborov. Útočníci môžu tiež vykonávať príkazy shellu v koreňovom operačnom systéme (OS).
Niektoré servery SQL ako Microsoft SQL Server obsahujú uložené a rozšírené procedúry. Ak útočník vstrekovania SQL získa prístup k týmto postupom, môže to viesť k veľmi nežiaducim výsledkom. Nesprávne kódované webové stránky a webové aplikácie sú vždy náchylné na tento druh útoku.
Ideálnym spôsobom, ako sa vyhnúť útokom injekcie, je odhaliť zraniteľné miesta webových stránok a webových aplikácií pred uvedením do prevádzky. Existujú automatizované SQL injekčné skenery, ktoré pomáhajú testerom penetrácie overiť zraniteľnosť webových stránok a webových aplikácií pre potenciálne útoky SQL injekcie.
Toto pomáha správcovi webu okamžite opraviť zraniteľný kód a chrániť webové stránky pred akýmikoľvek možnými útokmi s injekciou SQL.
