σελίδες ιστοσελίδα που αντλούν πληροφορίες από βάσεις δεδομένων SQL σχεδιαστεί για να λάβει συγκεκριμένες πληροφορίες από τους χρήστες , στη συνέχεια να χρησιμοποιούν τις πληροφορίες για να κατασκευάσει μια δήλωση ερώτημα για την ανάκτηση συγκεκριμένων πληροφοριών από μια βάση δεδομένων . SQL ένεση επιθέσεις λαμβάνουν τη μορφή της ιστοσελίδας των χρηστών χειρισμό αυτής της διαδικασίας να εξαπατήσει κώδικα της ιστοσελίδας σε δημιουργώντας ένα ερώτημα που επιστρέφει ευαίσθητων πληροφοριών από μια βάση δεδομένων και όχι στο κοινό τις πληροφορίες που αποσκοπούν να επιστρέψει προγραμματιστής της σελίδας του . Με τη χρήση τεχνάσματα, όπως την εισαγωγή μη έγκυρων δεδομένων σε πεδία εισόδου για να αναγκάσει ένα μήνυμα σφάλματος που αποκαλύπτει πληροφορίες για τη δομή της βάσης δεδομένων , ή να εισαγάγετε κείμενο που θα προκαλέσει ο κώδικας για να επιστρέψει πληροφορίες από άλλα μέρη της βάσης δεδομένων , ένας χάκερ μπορεί να συγκεντρώσει στοιχεία για να διενεργήσει μια σημαντική επίθεση σε μια εταιρεία ή διακομιστή οργανισμού .
εικόνων διακομιστή Downtime
Η
παρόχους λογισμικού βάσεων δεδομένων απελευθέρωσης patches ασφαλείας για να κλείσει τα τρωτά σημεία που SQL ένεση επιθέσεις μπορεί να εκμεταλλευτεί , καθώς οι ερευνητές ασφαλείας να ανακαλύψουν , αλλά οι εταιρείες δεν ισχύουν πάντα αυτά τα μπαλώματα στους διακομιστές τους , αμέσως μετά την αποφυλάκισή τους . Αν και δεν είναι αμέσως σε εφαρμογή patches λογισμικό σημαίνει ότι οι εταιρείες είναι εν γνώσει τρέχει ένα server με τις γνωστές αδυναμίες , εφαρμόζοντας αυτά τα patches, απαιτεί τη λήψη servers εκτός λειτουργίας για συντήρηση . Αυτό σημαίνει ότι οι πελάτες δεν θα μπορούν να έχουν πρόσβαση στις online υπηρεσίες που προσφέρει η επιχείρηση , με αποτέλεσμα downtime εξυπηρέτησης πελατών ή με απώλεια εσόδων από πωλήσεις σε απευθείας σύνδεση . Για το λόγο αυτό , οι εταιρείες συχνά καθυστερούν τη λήψη servers offline για την εφαρμογή patches μέχρι την στιγμή που πρέπει να εκτελούν διάφορες άλλες αναβαθμίσεις και patches .
Η Ευκολία επίθεση
Η
μια επίθεση SQL ένεση είναι ένας από τους ευκολότερους να εκμεταλλευτούν τρωτά σημεία , και είναι συχνά η πρώτη επίθεση χάκερ αρχάριος μαθαίνει . Υπάρχουν αμέτρητες μαθήματα και σεμινάρια δωρεάν στο Διαδίκτυο για να διδάξει όποιον ενδιαφέρεται πώς να τους εκτελέσουν . Σε συνδυασμό με τη δημοτικότητα των ιστοσελίδων με δημόσιες σελίδες που βλέπει που ανακτούν δεδομένα από βάσεις δεδομένων SQL , αυτό σημαίνει ότι οι ενδεχόμενες χάκερ έχει έναν πλούτο των στόχων για να εξετάσουν με SQL ένεση επιθέσεις . Αυτό έχει ως αποτέλεσμα οι ερευνητές ασφαλείας » μαθαίνουν συνεχώς νέα τρωτά σημεία και εκμεταλλεύεται . Ενώ μια εταιρεία που πήρε διακομιστή του προς τα κάτω για τη συντήρηση κάθε φορά που έμαθα από ένα νέο δυνητικό παράγοντα ευπάθειας θα είναι η πιο ασφαλής , θα έχει επίσης πολλά προβλήματα στους server .
Εικόνων Poor Προγραμματισμός
Ακόμα κι αν μια εταιρεία που εφαρμόζονται καταλλήλως σε κάθε μπάλωμα ένα πάροχος λογισμικού SQL κυκλοφόρησε , μπαλώματα δεν μπορεί να κλείσει ένα άλλο χώρο για SQL ένεση επιθέσεις : κακή προγραμματισμού . Πολλές επιτυχημένες επιθέσεις SQL είναι το αποτέλεσμα του Web προγραμματιστές » , παραλείποντας να λάβει τα απλά βήματα , όπως η επικύρωση εισόδου του χρήστη για να βεβαιωθείτε ότι δεν έχει σχεδιαστεί για να αναγκάσει τα μηνύματα λάθους SQL , ή την πρόληψη της χρήσης από πληκτρολογώντας σε βασικά στοιχεία ενός ερωτήματος SQL ότι χάκερ θα μπορούσαν να χρησιμοποιήσουν για να επιλέξετε διαφορετικές ευαίσθητα πεδία δεδομένων . Οι προγραμματιστές που κώδικα, όπως τα τρωτά σημεία σε ιστοσελίδες τους είναι ουσιαστικά καλώντας SQL ένεση επιθέσεις στους κεντρικούς υπολογιστές τους .
Η
εικόνων
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα