Вразливості SQL-injection
SQL-injection (SQLi) це ін’єкційна атака, яка дозволяє втручатися в запити, які програма робить до своєї бази даних, і як зрозуміло з назви, запити відбуваються через стандартизовану мову запитів SQL. Часто це дозволяє зловмиснику переглядати дані, які вони зазвичай не можуть отримати такі як дані,...
Saved in:
| Main Authors: | , |
|---|---|
| Format: | Article |
| Language: | English |
| Published: |
Oles Honchar Dnipro National University
2023-06-01
|
| Series: | Challenges and Issues of Modern Science |
| Online Access: | https://cims.fti.dp.ua/j/article/view/80 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| _version_ | 1823858743424581632 |
|---|---|
| author | Світлана Клименко Ілля Тремба |
| author_facet | Світлана Клименко Ілля Тремба |
| author_sort | Світлана Клименко |
| collection | DOAJ |
| description |
SQL-injection (SQLi) це ін’єкційна атака, яка дозволяє втручатися в запити, які програма робить до своєї бази даних, і як зрозуміло з назви, запити відбуваються через стандартизовану мову запитів SQL. Часто це дозволяє зловмиснику переглядати дані, які вони зазвичай не можуть отримати такі як дані, що належать іншим користувачам, або будь-які інші дані, до яких має доступ сама програма. Незважаючи на те, що є інші типи ін’єкційних вразливостей (ін’єкція заголовка HTTP, ін’єкція коду, команди т. п.) SQLi є більш відомою та привабливою для використання зловмисниками при атаках на веб-додатки. Трохи нижче ми розглянемо статистику вразливостей та наслідки реалізації SQLi [1].
Уразливість SQLi може вплинути на будь-який веб-сайт або веб-програму, яка використовує базу даних SQL, таку як MySQL, Oracle, SQL Server або інші. SQL – це мова запитів, які керують даними, котрі зберігаються в реляційних базах даних, її можна використати для доступу, видалення або зміни даних. У деяких випадках можливо використати команди SQL для запуску команд операційної системи, а також враховуючи, що частина веб-сайтів та веб-додатків, які зберігають усі дані в базах даних SQL досить велика, то успішна атака SQLi може мати дуже серйозні наслідки.
Спектр використання ін’єкції досить широкий. Злочинці можуть використовувати цю уразливість для отримання несанкціонованого доступу до ваших конфіденційних даних: інформації про клієнтів, особистих даних, комерційної таємниці, інтелектуальної власності тощо. Отже, успішна реалізація SQLi може порушити конфіденційність (приватні дані користувачів або компанії), цілісність (внесення змін до системи або видалення інформації з неї), автентифікацію (можливе підключення до системи як інший користувач без попереднього знання паролю), авторизацію (зміна інформації про авторизацію, якщо вона зберігається в базі даних SQL).
|
| format | Article |
| id | doaj-art-05358fdd745145b1a976fcb28c72e3b1 |
| institution | Kabale University |
| issn | 3083-5704 |
| language | English |
| publishDate | 2023-06-01 |
| publisher | Oles Honchar Dnipro National University |
| record_format | Article |
| series | Challenges and Issues of Modern Science |
| spelling | doaj-art-05358fdd745145b1a976fcb28c72e3b12025-02-11T09:56:21ZengOles Honchar Dnipro National UniversityChallenges and Issues of Modern Science3083-57042023-06-011Вразливості SQL-injectionСвітлана Клименко0https://orcid.org/0000-0003-2005-9993Ілля Тремба1https://orcid.org/0009-0004-0223-1176Дніпровський національний університет імені Олеся ГончараДніпровський національний університет імені Олеся Гончара SQL-injection (SQLi) це ін’єкційна атака, яка дозволяє втручатися в запити, які програма робить до своєї бази даних, і як зрозуміло з назви, запити відбуваються через стандартизовану мову запитів SQL. Часто це дозволяє зловмиснику переглядати дані, які вони зазвичай не можуть отримати такі як дані, що належать іншим користувачам, або будь-які інші дані, до яких має доступ сама програма. Незважаючи на те, що є інші типи ін’єкційних вразливостей (ін’єкція заголовка HTTP, ін’єкція коду, команди т. п.) SQLi є більш відомою та привабливою для використання зловмисниками при атаках на веб-додатки. Трохи нижче ми розглянемо статистику вразливостей та наслідки реалізації SQLi [1]. Уразливість SQLi може вплинути на будь-який веб-сайт або веб-програму, яка використовує базу даних SQL, таку як MySQL, Oracle, SQL Server або інші. SQL – це мова запитів, які керують даними, котрі зберігаються в реляційних базах даних, її можна використати для доступу, видалення або зміни даних. У деяких випадках можливо використати команди SQL для запуску команд операційної системи, а також враховуючи, що частина веб-сайтів та веб-додатків, які зберігають усі дані в базах даних SQL досить велика, то успішна атака SQLi може мати дуже серйозні наслідки. Спектр використання ін’єкції досить широкий. Злочинці можуть використовувати цю уразливість для отримання несанкціонованого доступу до ваших конфіденційних даних: інформації про клієнтів, особистих даних, комерційної таємниці, інтелектуальної власності тощо. Отже, успішна реалізація SQLi може порушити конфіденційність (приватні дані користувачів або компанії), цілісність (внесення змін до системи або видалення інформації з неї), автентифікацію (можливе підключення до системи як інший користувач без попереднього знання паролю), авторизацію (зміна інформації про авторизацію, якщо вона зберігається в базі даних SQL). https://cims.fti.dp.ua/j/article/view/80 |
| spellingShingle | Світлана Клименко Ілля Тремба Вразливості SQL-injection Challenges and Issues of Modern Science |
| title | Вразливості SQL-injection |
| title_full | Вразливості SQL-injection |
| title_fullStr | Вразливості SQL-injection |
| title_full_unstemmed | Вразливості SQL-injection |
| title_short | Вразливості SQL-injection |
| title_sort | вразливості sql injection |
| url | https://cims.fti.dp.ua/j/article/view/80 |
| work_keys_str_mv | AT svítlanaklimenko vrazlivostísqlinjection AT íllâtremba vrazlivostísqlinjection |