SQL injekcija
SQLi (engl. SQL injection) je proces "injektovanja" posebnog koda u bazu podataka, što hakerima obično omogućava pristup administratorskom panelu i difejsovanje sajta.[1] Obično su mete neosigurani sajtovi sa MySQL bazama podataka, koja ima sigurnosni propust. Sve je više takvih napada, a administratori se trude da poprave greške u sistemima. Uprkos tome hakeri i dalje pronalaze nove nedostatke sistema i svakog dana se hakuje mnoštvo sajtova.[2]
Садржај
Slepi SQLi[уреди]
Slepi SQLi je sličan običnom SQLi-u, samo što kod njega podaci nisu vidljivi napadaču. Napadaču je potrebno mnogo veće znanje nego za obicni SQLi, da bi, izvlačeći slovo po slovo, uspio izvući podatke. Danas postoje razne alatke koje automatizuju takve napade ali, nekad ni one same ne mogu pronaći odgovarajuće podatke, zahvaljujući zaštitama, kao što je Mod Security.
Verzije baza podakata koje su ranjive na napade[уреди]
Verzija koje su ranjive na SQLi ima puno. U nekim slučajevima, iako baza nije ranjiva, skripta koja ima rupu u kodu, može prikazati sadržaj baze. U tom slučaju, potrebno je zakrpiti rupu, što je mnogo lakše učiniti, nego nadograditi MySQL verziju, ukoliko koristite usluge Shared Hostinga.
| Baza | Ranjiva verzija |
|---|---|
| MySQL | 5.0 i više |
| MsAccess | 7.0 i manje |
| Oracle | 10.2-11.2 |
Reference[уреди]
- ↑ Microsoft. „SQL Injection”. Приступљено 27. 11. 2013.
- ↑ Imperva (2012-07). „Imperva Web Application Attack Report” (PDF). Приступљено 27. 11. 2013.
Spoljašnje veze[уреди]
- Complete Reference Guide to SQL Injection, Attack and Prevention Method of SQL Injection by WorldofHacker.
- SQL Injection Knowledge Base, by Websec.
- Blind Sql injection with Regular Expression
- WASC Threat Classification - SQL Injection Entry, by the Web Application Security Consortium.
- Why SQL Injection Won't Go Away, by Stuart Thomas.
