Sql injection

دسته بندی ها : آموزش ۱۸ فروردین ۱۳۹۹ آپا دانشگاه تبریز 151 بازدید

تزریق به دیتابیس یا پایگاه داده (SQL injection)، نوعی از حملات است که در آن هکر با استفاده از مشکلات امنیتی موجود در کدهای نوشته شده توسط برنامه نویس سایت ، اقدام به اجرای دستورات خود بر روی دیتابیس سایت هدف می کند. حمله تزریق به پایگاه داده در واقع نوعی تزریق کد است که با سوء استفاده از کوئری های SQL انجام می گیرد. بانک های اطلاعاتی و فرم های استفاده شده در برنامه های کاربردی تحت وب، هدف اصلی این حمله می باشند  که می تواند موجب افشای رمز عبور کاربران، داده های حساس موجود در پایگاه داده وب سایت ها،حذف اطلاعات و اضافه کردن داده های مختلف شود. این حمله برای اولین بار در سال ۱۹۹۸ شناخته شد و از جمله حملات بسیار شایع می باشد. این آسیب پذیری می تواند روی هر وب سایت یا برنامه ای که از پایگاه داده SQL server، My SQL ، Oracleو سایر موارد استفاده می کند تاثیر بگذارد. از آنجایی که سازمان OWASP حملهinjection SQL را به عنوان تهدید شماره یک امنیتی معرفی کرده، بسیاری از برنامه نویسان به محض شنیدن این آسیب پذیری با ترس عجیبی روبرو می شوند در حالی که با یادگرفتن برخی نکات درمورد قالب مناسب و فرمت صحیح کوئری ها، وب سایت موردنظر امنیت بالایی در مقابل حمله SQL injection خواهد داشت. علاوه بر رعایت نکات برنامه نویسی اقدامات پیشگیرانه دیگری برای مقابله با این نوع حمله وجود دارد که در این زمینه به شما کمک خواهد کرد:

۱-ورودی ها را قبل از ارسال به پایگاه داده با روش های مختلف چک کنید تا حاوی کاراکترهای غیرمجاز نباشند.

۲-نسخه های مختلف پایگاه داده ها ممکن است دارای مشکلات امنیتی باشند، بنابراین همواره باید آن ها را بروزرسانی کنید.

۳- از آخرین نسخه زبان های برنامه نویسی استفاده کنید زیرا زبان های برنامه های نویسی برای مشکلات امنیتی خود، به طور مداوم patch های امنیتی منتشر می کنند.

۴- استفاده از یک فایروال مناسب می تواند با فیلتر کردن داده های مخرب، برای محافظت های امنیتی در برابر آسیب پذیری جدید قبل دسترسی به Patch بسیار مفید باشد.

۵-اطلاعات حساس خود مانند رمز عبور و… را با الگوریتم های قوی و در صورت امکان با استفاده از هش، ذخیره کنید که در صورت به سرقت رفتن اطلاعاتتان شناسایی رمزعبور و اطلاعات دشوار باشد.

 

با وجود توصیه های فراوان، همان طور که گفته شد این حمله و آسیب پذیری یکی از چالش های اساسی برنامه های تحت وب است و متاسفانه بسیاری از مدیران وب سایت ها به دلیل صرف هزینه کم تر برای راه اندازی وب سایت خود، نسبت به بهره گیری از تیم های برنامه نویسی با تجربه به توجه هستند. از طرفی برخی از برنامه نویسان نیز تصور می کنند با یادگیری دستورات برنامه نویسی تسلط کاملی به حرفه خود دارند درحالی که بسیاری از آنها نسبت به نقایص امنیتی بی توجه‌اند و دانشی در موردرعایت اصول امنیتی ندارند. سهل انگاری مدیران وب سایت و برنامه نویس ها ممکن است خسارت های جبران ناپذیری برای کسب وکارها در پی داشته باشد و باعث افشای اطلاعات حساس میلیون ها کاربر شود. لطفا این آسیب پذیری را جدی بگیریم!!

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :