حملات SQL Injection

حملات SQL Injection چیست؟

گزارش اینترنتی Akamai که داده ها را بین نوامبر 2017 و مارس 2019 مورد تجزیه و تحلیل قرار می دهد ، نشان می دهد که حملات SQL injection اکنون تقریباً دو سوم (65.1٪) از کل حملات اپلیکیشن های وب را در بر می گیرد

یکی از حملات گسترده به سرورها، حمله به پایگاه داده ها برای آشکار کردن اطلاعات حساس مانند جزئیات مشتری ، اطلاعات شرکت و غیره است

هدف ما از این مقاله پرداختن به سؤالاتی است مانند “SQL Injection چیست؟” یا “رایج ترین نوع SQL Injection کدام است؟”

بنابراین ، در این مقاله ، ما در مورد چگونگی جلوگیری از حملات SQL Injection بحث خواهیم کرد.

SQL Injection چیست و چگونه کار می کند؟

این گرافیک نحوه عملکرد یک حمله تزریق SQL را نشان می دهد.حملات SQL Injection

حملات SQL Injection (structured query language) ، به طور مرتب در لیست آسیب پذیریهای OWASP نشان داده می شود که 10 خطر بزرگ امنیتی وب در صنعت را آشکار می کند. SQL Injection (تزریق در پایگاه داده یا دیتابیس) یک روش برای قرار دادن کد مخرب به یک فرم وب به عنوان بخشی از پرس و جو SQL است، به نحوی که برنامه را متقاعد کند کد جدید وارد شده SQL را به جای کد اصلی SQL اجرا کند

 

در بسیاری از موارد دیده می‌شود که هکر به عنوان بازدیدکننده به سایت وارد می‌شود و در هنگام پر کردن فیلدهای فرم ثبت نام به جای درج اطلاعات فردی، کوئری مورد نظر خود را توسط حملات SQL Injection اجرا می‌کند. در این حالت ایمیل ادمین به ایمیل دلخواه تغییر می‌کند و تمام دسترسی‌ها در اختیار هکر قرار می‌گیرد.

یک رشته مخرب ارسال شده به عنوان یک کوئری جستجو می توانند روی سرور پایگاه داده  منتقل شوند بدون بررسی اعتبار سنجی مناسب .

جدا از مسائل مربوط به امنیت داده ها ، مهاجمان می توانند از این آسیب پذیری برای پاک کردن جداول و خراب کردن آنها سوء استفاده استفاده کنند ، و کل عملیات تجاری شما را به شدت مختل کنند.

روش های نفوذ از طریق sql injection

۱. Union  : ساده ترین روش  است که در تمام پایگاه داده ها قابل اجرا میباشد ، اما با استفاده از فایروال می توان از این روش حمله جلوگیری کرد.

۲. Error : در این روش هکر دستوراتی را اجرا میکند تا پایگاه داده یکسری ارور نمایش بدهد تا از همین ارورها بتواند اطلاعاتی را بدست آورد. با بستن نمایش ارور توسط وب سرور میتوان از این نوع حمله جلوگیری کرد.

۳. Blind sql injection : این روش زمان بر است اما برای هکرها بهترین نتیجه را دارد زیرا با  فایروال هم قابل جلوگیری نیست . در این روش تمام کارها با true و false انجام شده  و کاراکتر به کاراکتر دیتاها بدست می آید .

مقابله با SQL injection در برابر افزایش امنیت دیتابیس

– به روزرسانی نسخه های بانک اطلاعاتی می تواند روند بهتری در برابر جلوگیری از مشکلات امنیتی دیتابیس شما ایجاد کند بنابراین توصیه ی ما این است که همواره برنامه ی پایگاه داده ی خود را مطابق با آخرین نسخه آپدیت کنید.

– غیرفعال کردن نمایش خطاهای پایگاه داده می تواند پایگاه داده و وب سایت شما را در برابر هکرها امن تر نگه دارد. بدین ترتیب پس از اتمام نوشتن کدهایSQL این ویژگی را غیرفعال کنید.

– امنیت بیشتر پایگاه داده نیازمند ارائه ی پارامترهای قوی تر برای اطلاعات مهم تری نظیر رمزهای عبور است. بدین ترتیب استراتژی های محکم تری برای ذخیره سازی آنها در پایگاه داده اعمال کنید تا در صورت حمله های احتمالی نیز با مشکل مواجه نشوید. در این شرایط هکرها با دردسر بیشتری قادر به رمزگشایی اطلاعات مهم شما خواهند بود و در شرایطی هم ممکن است به این اطلاعات نرسند.

منبع

 

 

درحال ارسال
امتیاز دهی کاربران
0 (0 رای)
0 پاسخ

دیدگاه خود را ثبت کنید

تمایل دارید در گفتگو شرکت کنید؟
نظری بدهید!

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.