SQL-injection, уязвимость в системе баз данных и методы борьбы с ней

Лучший диплом по информационной безопасности
SQL-injection, уязвимость в системе баз данных и методы борьбы с ней 23.04.2016

SQL-injection, уязвимость в системе баз данных и методы борьбы с ней

В ходе моей работы будет рассмотрена авторизация пользователя на веб-сайте, возможность несанкционированного доступа к базе данных изменением SQL запроса. Варианты исправления этой уязвимости.

Все запросы происходят на языке SQL. Пример запроса:

SELECT * FROM usertbl WHERE username='".$username."' AND password='".$password."'"

Данный запрос ищет в базе данных пользователя с именем и паролем. Если данные верны, пользователь сможет авторизоваться.

Сейчас SQL активно применяется во множествах ресурсов, поэтому проблема SQL injection занимает важное место в веб-безопасности. По данным Positive Technologies, которые были получены в процессе работ по анализу защищенности веб-приложений в 2014 году: SQL injection занимают 4 место по частоте появления на сайтах, этой атаке подвержены 48% сайтов.

Как правило, атаки с использованием SQL-инъекции весьма просты, поэтому удивительно, что они до сих пор остаются одним из наиболее распространенных и наиболее опасных видов атак, доступных компьютерным взломщикам. Список жертв этих атак практически совпадает с перечнем крупнейших Интернет-компаний. Жертвами этого хорошо известного эксплойта становились даже самые защищенные веб-сайты, в том числе сайты LinkedIn, Yahoo!, ФБР и НАСА. Один из самых масштабных случаев применения SQL-инъекции имел место в 2011 году на веб-сайте Sony PlayStation Network. С помощью SQL-инъекции взломщики получили доступ к 77 миллионам учетных записей пользователей (и к сопутствующим личным данным). В результате одного только простоя по причине этой атаки компания Sony недополучила доходов на миллионы долларов. Совокупный ущерб от атак с использованием SQL-инъекций на веб-сайты, среди которых сайты крупных банков, сайты

социальных сетей, исчисляется миллиардами долларов США.

Существует множество различных программ для тестирования инъекций, который используют как и для тестирования своих сайтов, чтобы обеспечить их безопасность, но и как атакующее средство, чтобы облегчить атаку на сайт. Также SQL-injection достаточно просто устранить и в данной работе были приведены самые банальные способы устранения этой проблемы. Среди них запрет некоторых символов и другие. Данная работа должна помочь начинающим разработчикам понять как исправить данную проблему и научиться ее исправлять.

Данная работа показала простейшие способы устранения SQL-injection. Было описано программу которая может быстро и действенно обнаружить SQL-injection, что позволит веб-разработчику быстро исправить эти уязвимости. Также были показаны примеры атак и основы SQL-injection. Данная работа должна помочь начинающим разработчикам и показать что основные атаки на веб-сайт обычно легко устранить, но про это забывают. Поэтому множество сайтов подвержено этой атаке до сих пор.


Конкурсант:  Лебединский Максим Александрович
Страна:  Украина
Область:  Донецкая область
Название УЗ (рус):  Донецкий национальный технический университет
Участник нац.финала:  Да
Участник Финала:  Нет
Файл работы (формат PDF):  Завантажити

Повернення до списку