Obsah:
Definice - Co znamená SQL Injection Attack?
SQL injekční útok je pokus o vydání SQL příkazů do databáze přes webové rozhraní. Tímto způsobem získáte informace o uložené databázi, včetně uživatelských jmen a hesel.
Tato technika vkládání kódu využívá chyby zabezpečení v databázové vrstvě aplikace. Hackeři využívají špatně kódované weby a webové aplikace k vkládání příkazů SQL, například využívají přihlašovacího formuláře k získání přístupu k datům uloženým v databázi.
Zjednodušeně řečeno, k útokům SQL vstřikování dochází, protože pole vstupu uživatele umožňují příkazům SQL procházet a přímo dotazovat databázi.
Techopedia vysvětluje SQL Injection Attack
Moderní webové stránky zahrnují přihlašovací stránky, vyhledávací stránky, formuláře podpory a žádosti o produkt, nákupní vozíky, formuláře zpětné vazby atd.
Všechny tyto funkce webových stránek jsou zranitelné vůči útokům SQL injekcí kvůli dostupnosti uživatelských vstupních polí. Útočník může snadno provádět libovolné příkazy SQL, pokud jsou tyto weby náchylné k injekci SQL. To může ohrozit integritu databází a vystavit citlivá data.
Na základě použité back-end databáze mohou zranitelnosti SQL pro injekce způsobit různé úrovně injekčních útoků. Útočníci mohou manipulovat se stávajícími dotazy, používat podvolby nebo přidávat další dotazy. V některých případech může být dokonce možné číst nebo zapisovat do souborů. Útočníci mohou také provádět příkazy shellu v kořenovém operačním systému (OS).
Některé servery SQL, jako je Microsoft SQL Server, obsahují uložené a rozšířené procedury. Pokud útočník vstřikování SQL získá přístup k těmto postupům, může to vést k vysoce nežádoucím výsledkům. Nesprávně kódované webové stránky a webové aplikace jsou vždy náchylné k tomuto druhu útoku.
Ideálním způsobem, jak se vyhnout injekčním útokům, je odhalit zranitelnost webových stránek a webových aplikací před uvedením do provozu. Existují automatické skenery SQL injekční, které pomáhají testerům penetrace ověřit zranitelnost webů a webových aplikací pro potenciální útoky SQL injekcí.
Toto pomůže správci webu okamžitě opravit zranitelný kód a chránit webové stránky před jakýmkoli možným útokem SQL injekcí.
