Услуга «Антивирус Dr.Web»
Продукция Dr.Web
Outpost AntiVirus Service
Продукция ESET
ESET NOD32 Antivirus
ESET SMART SECURITY 6
ESET MOBILE SECURITY
Продукция Emsisoft
Продукция AVAST!
Продукция Avira
Продукция Zillya!
Продукция TrustPort
Продукция Panda Security
Различные утилиты защиты
Новости
мар
20
Что такое SQL injection? (SQL инъекция)
SQL инъекция (англ. SQL injection) – внедрение произвольного (можно даже сказать «заведомо вредительского») SQL кода является одним из самых известных, распространенных и излюбленных среди мошенников способов, направленных на взлом сайта или web приложений, специфика работы которых требует наличия баз данных.
SQL injection – относится от разряду опаснейших уязвимостей на сайте. Возможность успешного «паразитирования» злоумышленника на Вашем сайте в случае удачной SQL-инъекции превышает 99% случаев.
Такая уязвимость может открыть ворота взломщику для получения полного доступа к любому из сервисов: административная панель сайта, FTP, почтовые сервисы и практически любые другие.
По классификации OWASP (Open Web Application Security Project) SQL инъекция относится к наивысшей степени угрозы сайта или web приложения.
Физически SQL инъекция – это просто подделанный определенным образом запрос к базе данных на сайте. Если запрос оказывается успешным, то его логика работы может быть адаптирована под конкретные нужды взломщика и выполнять необходимые ему действия.
Процесс внедрения инъекции индивидуален и зависит от типа используемой базы данных и доступный возможностей внедрения на конкретном data server. В любом случае все сведется к выполнению произвольного SQL запроса к какой-то таблице БД. И необязательно это будет запрос на чтение – это может быть и модификация или даже удаление таблицы. А при определенных навыках и знании можно даже получить доступ не только к таблицам, а и к локальным файлам сервера и выполнение произвольных команд.
Наиболее часто возможность SQL-инъекции достигается благодаря некорректно обрабатываемым входным данным, являющимися запросом к БД.
И если только атакующий не собирался полностью уничтожить Ваш сайт или заняться дефейсом, то взлом может оставаться незамеченным довольно длительное время, а то и никогда, для истинного владельца ресурса.
Любой грамотный разработчик, работающий с БД, обязан знать о уязвимостях такого рода и принимать адекватные меры по пресечению попыток внедрения опасного SQL кода, «экранируя» и фильтруя запросы.
|
ВКонтакте
Facebook