![Судебно расследовать, кто и что изменил в базе данных SQL Server](https://i.ytimg.com/vi/hJxNsZTUKWA/hqdefault.jpg)
Садржај
- Дефиниција - Шта значи СКЛ убризгавање?
- Увод у Мицрософт Азуре и Мицрософт Цлоуд | Кроз овај водич научићете о томе шта се рачуна у облаку и како вам Мицрософт Азуре може помоћи да мигрирате и покренете посао из облака.
- Тецхопедиа објашњава СКЛ убризгавање
Дефиниција - Шта значи СКЛ убризгавање?
СКЛ ињекција је компјутерски напад у коме се злонамерни код уграђује у лоше дизајнирану апликацију и затим прослеђује у резервну базу података. Злонамјерни подаци тада производе резултате или радње упита базе података које никада не би требало да се извршавају.
Увод у Мицрософт Азуре и Мицрософт Цлоуд | Кроз овај водич научићете о томе шта се рачуна у облаку и како вам Мицрософт Азуре може помоћи да мигрирате и покренете посао из облака.
Тецхопедиа објашњава СКЛ убризгавање
Погледајмо пример напада СКЛ убризгавања:
Апликација која покреће пословање банке садржи меније који се могу користити за тражење детаља о клијенту користећи тачке података, као што су кориснички социјални број. У позадини апликација позива СКЛ упит који се покреће у бази података тако што уноси вредности унесене на следећи начин:
СЕЛЕЦТ име клијента, телефон, адреса, датум_ рођења ВХЕРЕ социал_сец_но = 23425
У овом узорку скрипте, корисник уноси вриједност 23425 у прозору изборника апликације, захтијевајући од корисника да унесе број социјалног осигурања. Затим, користећи вриједност коју пружа корисник, СКЛ упит покреће се у бази података.
Корисник са СКЛ знањем може да разуме апликацију и уместо да унесе једну вредност када се затражи број социјалног осигурања, унесе низ „23425 или 1 = 1“, који се у базу података прослеђује на следећи начин:
СЕЛЕЦТ име клијента, телефон, адреса, датум_ рођења ВХЕРЕ социал_сец_но = 23425 или 1 = 1
Клаузула ВХЕРЕ је важна јер уводи рањивост. У бази података је увјет 1 = 1 увијек истинит, а будући да је упит наведен за враћање детаља клијентског броја социјалног осигурања (23425) или ГДЈЕ 1 = 1, упит ће вратити све редове у табели, који нису били првобитна намера.
Горњи пример напада СКЛ убризгавања је једноставан, али показује како искоришћавање рањивости за превару апликације у покретање упита или команде за надокнаду базе података.
Напади СКЛ убризгавања могу се ублажити обезбеђивањем правилног дизајна апликација, посебно у модулима који захтевају корисничко уношење за покретање упита или наредби базе података. У горњем примеру, апликација се може променити тако да прихвата само једну нумеричку вредност.