SQLi) SQL Injection) نوعی حمله تزریقی است که اجرای دستورات مخرب SQL را ممکن می سازد. این دستورها سرور پایگاه داده را در پشت یک برنامه وب کنترل می کنند. مهاجمان می توانند از آسیب پذیری های SQL Injection برای دور زدن اقدامات امنیتی برنامه استفاده کنند. آنها می توانند به تأیید اعتبار و مجوز یک صفحه وب یا برنامه وب بپردازند و محتوای کل پایگاه داده SQL را بازیابی کنند. آنها همچنین می توانند از SQL Injection برای افزودن، تغییر و حذف سوابق در پایگاه داده استفاده کنند.آسیب پذیری SQL Injection ممکن است روی هر وب سایت یا برنامه وب که از یک پایگاه داده SQL مانند MySQL، Oracle، SQL Server یا سایر موارد استفاده می کند، تأثیر بگذارد. مجرمان ممکن است از آن برای دستیابی غیرمجاز به داده های حساس شما مانند: اطلاعات مربوط به مشتری، داده های شخصی، اسرار تجاری، مالکیت معنوی و موارد دیگر استفاده کنند. حملات SQL Injection یکی از قدیمی ترین، رایج ترین و خطرناک ترین آسیب پذیری برنامه های وب است. سازمان OWASP (پروژه امنیت نرم‌ افزاری تحت وب) SQL Injection را در بین فهرست تزریقات موجود در سند خود را به عنوان تهدید شماره یک برای امنیت برنامه های تحت وب ذکر کرده است.

چگونه و چرا یک حمله SQL Injection انجام می شود

  • برای انجام حمله SQL Injection، یک مهاجم ابتدا باید ورودی های کاربر آسیب پذیر را در صفحه وب یا برنامه تحت وب پیدا کند. یک صفحه وب یا یک برنامه تحت وب که دارای آسیب پذیری SQL Injection است، از چنین ورودی کاربر به طور مستقیم در یک کوئری SQL استفاده می کند. مهاجم می تواند محتوای ورودی ایجاد کند. چنین محتوائی غالبا به عنوان بار مخرب نامیده می شود و بخش اصلی حمله است. بعد از اینکه مهاجم این محتوا را ارسال کرد، دستورات مخرب SQL در پایگاه داده اجرا می شوند.
  • SQL یک زبان کوئری است که برای مدیریت داده های ذخیره شده در پایگاه های داده طراحی شده است. می توانید از آن برای دسترسی، تغییر و حذف داده ها استفاده کنید. بسیاری از برنامه های وب و وب سایت ها، همه داده ها را در پایگاه های داده SQL ذخیره می کنند. در برخی موارد، شما همچنین می توانید از دستورات SQL برای اجرای فرامین سیستم عامل استفاده کنید. بنابراین، یک حمله موفق SQL Injection می تواند عواقب بسیار جدی در بر داشته باشد.
  • مهاجمان می توانند از SQL Injections برای یافتن اعتبار سایر کاربران در پایگاه داده استفاده کنند. آنها می توانند هویت این کاربران را جعل کنند. کاربر جعل شده ممکن است یک مدیر پایگاه داده با تمام امتیازات پایگاه داده باشد.
  • SQL به شما امکان می دهد داده ها را از پایگاه داده انتخاب و خارج کنید. آسیب پذیری SQL Injection می تواند به مهاجم اجازه دهد دسترسی کامل به کلیه داده های یک سرور پایگاه داده را بدهد.
  • SQL همچنین به شما امکان می دهد داده ها را در یک پایگاه داده تغییر داده و داده های جدید اضافه کنید. به عنوان مثال ، در یک برنامه مالی، یک مهاجم می تواند از SQL Injection برای تغییر دادن مانده ها، معاملات باطل یا انتقال پول به حساب خود استفاده کند.
  • شما می توانید SQL را برای حذف سوابق از یک پایگاه داده، حتی جداول جدول استفاده کنید. حتی اگر مدیر پشتیبان تهیه پایگاه داده باشد، حذف داده ها می تواند در دسترس بودن برنامه تا زمان بازگرداندن بانک اطلاعات تأثیر بگذارد. همچنین، پشتیبان گیری ممکن است جدیدترین داده ها را پوشش ندهد.
  • در برخی از سرورهای پایگاه داده، شما می توانید با استفاده از سرور پایگاه داده به سیستم عامل دسترسی پیدا کنید. این ممکن است عمدی یا تصادفی باشد. در چنین حالتی، یک مهاجم می تواند از SQL Injection به عنوان بردار اولیه استفاده کند و سپس به شبکه داخلی پشت فایروال حمله کند.


تاریخ : پنجشنبه 15 اسفند 1398 | 01:32 ق.ظ | نویسنده : مدیر | نظرات
.: Weblog Themes By SlideTheme :.


  • شبکه اجتماعی فارسی کلوب | Buy Website Traffic | Buy Targeted Website Traffic