СКЛ убризгавање

Видео: Судебно расследовать, кто и что изменил в базе данных SQL Server

Садржај

Дефиниција - Шта значи СКЛ убризгавање?
Увод у Мицрософт Азуре и Мицрософт Цлоуд | Кроз овај водич научићете о томе шта се рачуна у облаку и како вам Мицрософт Азуре може помоћи да мигрирате и покренете посао из облака.
Тецхопедиа објашњава СКЛ убризгавање

Дефиниција - Шта значи СКЛ убризгавање?

СКЛ ињекција је компјутерски напад у коме се злонамерни код уграђује у лоше дизајнирану апликацију и затим прослеђује у резервну базу података. Злонамјерни подаци тада производе резултате или радње упита базе података које никада не би требало да се извршавају.

Увод у Мицрософт Азуре и Мицрософт Цлоуд | Кроз овај водич научићете о томе шта се рачуна у облаку и како вам Мицрософт Азуре може помоћи да мигрирате и покренете посао из облака.

Тецхопедиа објашњава СКЛ убризгавање

Погледајмо пример напада СКЛ убризгавања:

Апликација која покреће пословање банке садржи меније који се могу користити за тражење детаља о клијенту користећи тачке података, као што су кориснички социјални број. У позадини апликација позива СКЛ упит који се покреће у бази података тако што уноси вредности унесене на следећи начин:

СЕЛЕЦТ име клијента, телефон, адреса, датум_ рођења ВХЕРЕ социал_сец_но = 23425

У овом узорку скрипте, корисник уноси вриједност 23425 у прозору изборника апликације, захтијевајући од корисника да унесе број социјалног осигурања. Затим, користећи вриједност коју пружа корисник, СКЛ упит покреће се у бази података.

Корисник са СКЛ знањем може да разуме апликацију и уместо да унесе једну вредност када се затражи број социјалног осигурања, унесе низ „23425 или 1 = 1“, који се у базу података прослеђује на следећи начин:

СЕЛЕЦТ име клијента, телефон, адреса, датум_ рођења ВХЕРЕ социал_сец_но = 23425 или 1 = 1

Клаузула ВХЕРЕ је важна јер уводи рањивост. У бази података је увјет 1 = 1 увијек истинит, а будући да је упит наведен за враћање детаља клијентског броја социјалног осигурања (23425) или ГДЈЕ 1 = 1, упит ће вратити све редове у табели, који нису били првобитна намера.

Горњи пример напада СКЛ убризгавања је једноставан, али показује како искоришћавање рањивости за превару апликације у покретање упита или команде за надокнаду базе података.

Напади СКЛ убризгавања могу се ублажити обезбеђивањем правилног дизајна апликација, посебно у модулима који захтевају корисничко уношење за покретање упита или наредби базе података. У горњем примеру, апликација се може променити тако да прихвата само једну нумеричку вредност.