Вразливості SQL-injection

Автор(и)

Анотація

SQL-injection (SQLi) це ін’єкційна атака, яка дозволяє втручатися в запити, які програма робить до своєї бази даних, і як зрозуміло з назви, запити відбуваються через стандартизовану мову запитів SQL. Часто це дозволяє зловмиснику переглядати дані, які вони зазвичай не можуть отримати такі як дані, що належать іншим користувачам, або будь-які інші дані, до яких має доступ сама програма. Незважаючи на те, що є інші типи ін’єкційних вразливостей (ін’єкція заголовка HTTP, ін’єкція коду, команди т. п.) SQLi є більш відомою та привабливою для використання зловмисниками при атаках на веб-додатки. Трохи нижче ми розглянемо статистику вразливостей та наслідки реалізації SQLi [1].

Уразливість SQLi може вплинути на будь-який веб-сайт або веб-програму, яка використовує базу даних SQL, таку як MySQL, Oracle, SQL Server або інші. SQL – це мова запитів, які керують даними, котрі зберігаються в реляційних базах даних, її можна використати для доступу, видалення або зміни даних. У деяких випадках можливо використати команди SQL для запуску команд операційної системи, а також враховуючи, що частина веб-сайтів та веб-додатків, які зберігають усі дані в базах даних SQL досить велика, то успішна атака SQLi може мати дуже серйозні наслідки.

Спектр використання ін’єкції досить широкий. Злочинці можуть використовувати цю уразливість для отримання несанкціонованого доступу до ваших конфіденційних даних: інформації про клієнтів, особистих даних, комерційної таємниці, інтелектуальної власності тощо. Отже, успішна реалізація SQLi може порушити конфіденційність (приватні дані користувачів або компанії), цілісність (внесення змін до системи або видалення інформації з неї), автентифікацію (можливе підключення до системи як інший користувач без попереднього знання паролю), авторизацію (зміна інформації про авторизацію, якщо вона зберігається в базі даних SQL).

Завантажити

Дані для завантаження поки недоступні.

Посилання

OWASP Top Ten | OWASP Foundation. OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation. URL: https://owasp.org/www-project-top-ten/ (дата звернення: 21.05.2023).

What is SQL Injection (SQLi) and How to Prevent At-tacks. Acunetix. URL. https://www.acunetix.com/websitesecurity/sql-injection/ (дата звернення: 21.05.2023).

The SQL Injection Threat & Recent Retail Breaches : Ponemon Institute. Ponemon Institute. URL: https://www.ponemon.org/research/ponemon-library/security/the-sql-injection-threat-recent-retail-breaches.html (дата звернення: 21.05.2023).

What is SQL injection - Examples & prevention | Malware-bytes. Malwarebytes. URL: https://www.malwarebytes.com/sql-injection (дата звернення: 21.05.2023).

Challenges and Issues of Modern Science

Завантаження

Опубліковано

2023-06-06

Номер

Том 1 (2023): Challenges and Issues of Modern Science

Розділ

Інформаційні технології, керування процесами та інноваційними проектами

Ліцензія

Авторське право (c) 2024 Виклики та проблеми сучасної науки

Creative Commons License

Ця робота ліцензується відповідно до ліцензії Creative Commons Attribution 4.0 International License.

Всі статті, опубліковані в журналі Challenges and Issues of Modern Science, ліцензовані за ліцензією Creative Commons Attribution 4.0 International (CC BY). Це означає, що ви можете:

  • Поширювати, копіювати та передавати статтю
  • Адаптувати, реміксувати та створювати похідні роботи на основі статті

за умови, що ви надаєте належне посилання на оригінальну роботу, вказуєте ім'я авторів, назву статті, журнал та наявність ліцензії CC BY. Будь-яке використання матеріалів не повинно припускати схвалення авторами або журналом використаного матеріалу.

Як цитувати

Клименко, С., & Тремба, І. (2023). Вразливості SQL-injection. Challenges and Issues of Modern Science, 1, 411-415. https://cims.fti.dp.ua/j/article/view/80

Share