SQL injekcija
SQL инјекција (енгл. SQL injection) je proces "инјектовања" posebnog koda u bazu podataka, što hakerima obično omogućava pristup administratorskom panelu i difejsovanje sajta.[1] Obično su mete neosigurani sajtovi sa MySQL bazama podataka, koja ima sigurnosni propust. Sve je više takvih napada, a administratori se trude da poprave greške u sistemima. Uprkos tome hakeri i dalje pronalaze nove nedostatke sistema i svakog dana se hakuje mnoštvo sajtova.[2]
Slepa SQL инјекција
[уреди | уреди извор]Slepa SQL инјекција (енгл. Blind SQL injection) je slična običnoj SQL инјекцији, samo što kod nje podaci nisu vidljivi napadaču. Napadaču je potrebno mnogo više vremena nego za osnovnu SQL инјекцију, da bi, izvlačeći slovo po slovo, uspio izvući podatke. Danas postoje razne alatke koje automatizuju takve napade ali, nekad ni one same ne mogu pronaći odgovarajuće podatke, zahvaljujući zaštitama, kao što je Mod Security[3]
Verzije baza podataka koje su ranjive na napade
[уреди | уреди извор]Verzija koje su ranjive na SQL инјекцију ima mnogo. U nekim slučajevima, iako baza podataka nije ranjiva, skripta koja ima propust u kodu, može prikazati sadržaj baze. U tom slučaju, potrebno je zakrpiti propust, što je prije moguće.
Baza | Ranjiva verzija |
---|---|
MySQL | 5.0 i više |
Microsoft Access | 7.0 i manje |
Oracle DB | 10.2-11.2 |
Izvori
[уреди | уреди извор]- ^ Microsoft. „SQL Injection”. Приступљено 27. 11. 2013.
- ^ Imperva (1. 7. 2012). „Imperva Web Application Attack Report” (PDF). Приступљено 27. 11. 2013.
- ^ „Mod Security”. Приступљено 8. 10. 2022.
Spoljašnje veze
[уреди | уреди извор]- „Complete Reference Guide to SQLi-How Attack Happens and How to Prevent SQL Injection”. World of Hacker. Архивирано из оригинала 3. 12. 2013. г. Приступљено 8. 10. 2022.
- WASC Threat Classification - SQL Injection Entry, by the Web Application Security Consortium.
- OWASP SQL Injection Cheat Sheets, by OWASP
- Why SQL Injection Won't Go Away Архивирано на сајту Wayback Machine (9. новембар 2012), by Stuart Thomas.