SQL инъекциясы_

kigibek

September 28, 2022

SQL инъекциясы

Бұл бөлімде біз SQL инъекциясының (SQLi) не екенін түсіндіреміз, кейбір жалпы мысалдарды сипаттаймыз, SQL инъекциясының осалдықтарының әртүрлі түрлерін табу және пайдалану жолын түсіндіреміз және SQL инъекциясының алдын алу жолын қорытындылаймыз.

SQL инъекциясы (SQLi) дегеніміз не?

SQL инъекциясы (SQLi) – шабуылдаушыға қолданба дерекқорына жасайтын сұрауларға кедергі келтіруге мүмкіндік беретін веб-қауіпсіздік осалдығы. Ол әдетте шабуылдаушыға әдетте шығарып ала алмайтын деректерді көруге мүмкіндік береді. Бұл басқа пайдаланушыларға тиесілі деректерді немесе қолданбаның өзі қол жеткізе алатын кез келген басқа деректерді қамтуы мүмкін. Көптеген жағдайларда шабуылдаушы бұл деректерді өзгерте немесе жояды, бұл қолданбаның мазмұнына немесе әрекетіне тұрақты өзгерістерді тудырады.

Кейбір жағдайларда шабуылдаушы негізгі серверді немесе басқа серверлік инфрақұрылымды бұзу үшін SQL инъекциялық шабуылын күшейтуі немесе қызмет көрсетуден бас тарту шабуылын орындауы мүмкін.

Сәтті SQL инъекциялық шабуылының әсері қандай?

Сәтті SQL инъекциялық шабуыл құпия сөздер, несие картасы мәліметтері немесе жеке пайдаланушы ақпараты сияқты құпия деректерге рұқсатсыз кіруге әкелуі мүмкін. Соңғы жылдардағы көптеген жоғары профильді деректерді бұзу SQL инъекциялық шабуылдарының нәтижесі болды, бұл беделге нұқсан келтіруге және реттеуші айыппұлдарға әкелді. Кейбір жағдайларда шабуылдаушы ұйымның жүйелеріне тұрақты бэкдорды ала алады, бұл ұзақ уақыт бойы байқалмай қалуы мүмкін ұзақ мерзімді ымыраға әкеледі.

SQL инъекциясының мысалдары

Әртүрлі жағдайларда пайда болатын SQL инъекциясының осалдықтарының, шабуылдарының және әдістерінің алуан түрлілігі бар. Кейбір жалпы SQL инъекция мысалдары мыналарды қамтиды:

  • Қосымша нәтижелерді қайтару үшін SQL сұрауын өзгертуге болатын жасырын деректерді шығарып алу.
  • Қолданба логикасын өзгерту, мұнда қолданба логикасына кедергі жасау үшін сұрауды өзгертуге болады.
  • UNION шабуылдары, мұнда әртүрлі дерекқор кестелерінен деректерді алуға болады.
  • Дерекқор нұсқасы мен құрылымы туралы ақпаратты шығаруға болатын дерекқорды тексеру.
  • Сіз басқаратын сұраудың нәтижелері қолданба жауаптарында қайтарылмаған соқыр SQL инъекциясы.