SQL injekcija

Из Википедије, слободне енциклопедије

SQLi (engl. SQL injection) je proces "injektovanja" posebnog koda u bazu podataka, što hakerima obično omogućava pristup administratorskom panelu i difejsovanje sajta.[1] Obično su mete neosigurani sajtovi sa MySQL bazama podataka, koja ima sigurnosni propust. Sve je više takvih napada, a administratori se trude da poprave greške u sistemima. Uprkos tome hakeri i dalje pronalaze nove nedostatke sistema i svakog dana se hakuje mnoštvo sajtova.[2]

Slepi SQLi[уреди]

Slepi SQLi je sličan običnom SQLi-u, samo što kod njega podaci nisu vidljivi napadaču. Potrebno je mnogo kucanja od strane napadača, da bi, izvlačeći slovo po slovo, dobio podatke. Danas postoje razne alatke koje automatizuju takve napade ali, nekad ni one same ne mogu pronaći odgovarajuće podatke.[3]

Verzije baza podakata koje su ranjive na napade[уреди]

Verzija koje su ranjive na SQLi ima puno.

Baza Ranjiva verzija
MySQL 5.0 i više
MsAccess 7.0 i manje
Oracle 10.2-11.2

Reference[уреди]

  1. ^ Microsoft. „SQL Injection“ Приступљено 27. 11. 2013.. 
  2. ^ Imperva (2012-07). „Imperva Web Application Attack Report“ (PDF) Приступљено 27. 11. 2013.. 
  3. ^ „Using SQLBrute to brute force data from a blind SQL injection point“. Justin Clarke. Archived from the original on 14. 6. 2008. Приступљено 27 11, 2013. 

Spoljašnje veze[уреди]