К основному контенту

Продать автомобиль на запчасти – советы по продаже

SQL инъекция — web атака — OWASP # 1 УЯЗВИМОСТЬ — ЧАСТЬ 2

Сегодня мы узнаем об основах SQL Injection.

В предыдущей статье Основы базы данных и SQL, которые каждый безопасник должен знать мы узнали об основах инъекционных атаки и типах инъекций.

Как мы узнали в предыдущей статье, инъекци означает добавление чего-то в код, который изменяет фактическое поведение кода или запроса.

Подобным образом SQL Injection означает добавление чего-то дополнительного в запрос SQL, что приводит к отклонению от SQL от фактического поведения.

Что такое SQL инъекция?

SQL-инъекция — это атака, в которой вредоносный код вставляется в строки, которые затем передаются SQL Server для синтаксического анализа и выполнения.

SQL инъекции  работают путем ввода данных в веб-приложение, которое затем используется в SQL-запросах.

Однако возможно, что данные поступают из другого источника, включая саму базу данных.

Программисты часто хотят, чтобы данные доверия из собственной базы данных были безопасными, не понимая, что они безопасны для всех других последующих применений.

Данные из базы данных следует рассматривать как ненадежные, если не доказано иначе, например. через процессы валидации.

В случае успеха SQL инъекции может манипулировать SQL-запросом, предназначенным для выполнения операции с базой данных, не предназначенной программисту.

Как происходит SQL-инъекция?

Обычно, что происходит в веб-приложениях, кодеры встраивают свои SQL-запросы в веб-страницы, чтобы отправлять и извлекать данные в/из баз данных, что является обычной практикой в ​​корпоративном мире. SQL, эти SQL-запросы обрабатываются в формате HTML, т.е. невидимые для обычного пользователя.

SQL встроен в веб-приложение или веб-страницу.

Хакеры проверяют веб-страницу, чтобы проверить, как она извлекается, как проверяется конкретная форма поиска или форма текстового поля и многое другое.

Во время этого осмотра, если это так, веб-приложение уязвимо для дефектов инъекции.

Но как именно хакеры проверяют эти вещи?

Для проверки SQL-инъекции он просто считывает значения тестов в специальном наборе символов, наборе последовательности.

SQL-инъекция происходит, когда происходит что-то из следующего:

1. Данные поступают в программу из ненадежного источника.

2. SQL инъекция  может атаковать эти SQL-запросы, которые динамически создаются с использованием какого-либо ввода от любой программы или пользователя или от некоторых функций.

3. Также SQL инъекция  может возникнуть, если escape-последовательности и типы не обрабатываются должным образом в SQL-запросе.

Рассмотрим следующий пример:

$ db = new mysqli ('localhost', 'username', 'password', 'mydatabase');$ result = $ db-> query ('SELECT * FROM транзакций WHERE user_id ='. $ _ POST [ 'user_id']);

У вышеуказанного запроса имеется множество недостатков в инъекции.

Вещи, которые в этом неправильны:
1. Прежде всего содержимое POST не проверено на достоверность.
2. Мы разрешаем ненадежному источнику сообщить нам, какой user_id использовать — для злоумышленника. Большинство разработчиков считают, что просто использовать POST, чтобы скрыть user_id
3. Мы не ускользнули от user_id или передали его запросу в качестве связанного параметра, который позволяет злоумышленнику вводить произвольные строки, которые могут манипулировать предоставленным SQL-запросом.

Вышеупомянутые три проблемы довольно распространены среди всех веб-приложений.

Мы хотим подробно обсудить каждую из них в последующих статьях.

Комментарии


Дистанционная компьтерная помощь, удаленная компьютерная помощь онлайн.

Популярные сообщения из этого блога

Лучшие плагины для OBS Studio

Open Broadcast Software или OBS - это свободное программное обеспечение с открытым исходным кодом для стриминга аудио и видео данных в сеть интернет. Программа полностью кроссплатформенная и может работать в Windows, Linux или MacOS. Это отличная альтернатива для таких программ, как Wirecast и XSplit. OBS использует для вещания стандартный протокол обмена сообщениями в реальном времени, а поэтому может транслировать данные в любой сервис, поддерживающий это, например, Yotube. Несмотря на широкие возможности OBS, программа поддерживает еще и множество плагинов. В этой статье мы рассмотрим лучшие плагины для OBS Studio, которые вы можете использовать. Содержание статьи: Лучшие плагины OBS Studio 1. Browser Source Plugin 2. Video Source Plugin 3. Simple Scene Switcher 4. DirectShow Audio Source 5. CLR Browser Source 6. OBS Remote 7. AMD Advanced Media Framework Encoder 8. Text Source Plugin Выводы Лучшие плагины OBS Studio Чтобы найти плагины OBS Studio для Video пользо

Лучшие аналоги Paint для Linux

Когда я работал в Windows, я часто использовал стандартную программу редактора изображений Windows - Paint. Не всегда нужен очень и многофункциональный инструмент вроде Photoshop или Gimp. Иногда, чтобы подправить ту или иную картинку, дорисовать на ней несколько фигур или вставить текст достаточно простого, легкого в освоении графического редактора вроде Paint. В Linux таких программ довольно много. В этой инструкции мы рассмотрим лучшие аналоги Paint для Linux. В этот список не будут включены такие программы, как Gimp и Krita, ведь это полнофункциональные графические редакторы, векторные редакторы, такие как Inkscape мы тоже рассматривать не будем. А теперь перейдем к списку. Содержание статьи: KolourPaint MyPaint Gnome Paint XPaint Pinta mtPaint GPaint Rassam-paint Выводы KolourPaint На первом месте в списке аналогов Piant для Linux будет KoloutPaint. Это стандартный графический редактор для окружения рабочего стола KDE. Он поддерживает множество форматов изображе

Подключение OneDrive в Linux

OneDrive (Ранее известный как SkyDrive) это популярное облачное хранилище файлов от Майкрософт. Сейчас OneDrive бесплатно предоставляет 7 гигабайт пространства новым пользователям. Как вы знаете OneDrive хорошо интегрирован с другими продуктами компании  Microsoft. В OneDrive Также есть официальный клиент который автоматически загружает ваши видео и фотографии с камеры в облако. Но к сожалению этот клиент недоступен для операционных систем семейства Linux. Но не все так плохо. Сообщество открытого программного обеспечения уже нашло решение. Это opedrive-d от Boilermaker. Запустившись как демон программа автоматически синхронизирует локальную папку с облаком OneDrive. Содержание статьи: Установка Onedrive-d в Linux Настройка Синхронизация локальной папки с OneDrive Установка Onedrive-d в Linux Несмотря на то что onedrive-d разрабатывается для Ubuntu/Debian, CentOs/Fedora/RHEL поддерживается тоже хорошо. Для установки достаточно набрать несколько команд: $ git clone h