Računalništvo, telefonija
13.06.2018 12:04

Deli z drugimi:

Share

SQL injection ranljivost

Se uvršča med najbolj znane ranljivosti spletnih aplikacij. Je sinonim za varnost spletnih aplikacij. In to povsem upravičeno, saj gre dejansko za eno izmed resnejših ranljivosti, ko ima napadalec veliko možnosti, da poseže po širokem naboru podatkov podjetja.
Nasveti in dobre prakse za zaščito
Nasveti in dobre prakse za zaščito

Ogroženi pa niso samo podatki, ki so neposredno povezani z ranljivo aplikacijo, ampak tudi marsikateri ostali.

Preko ranljivosti so namreč ogroženi tudi:

• podatki iz drugih aplikacij v podjetju, če se ti nahajajo na istem baznem strežniku,
• podatki o skrbnikih (gesla, uporabniška imena, dostopi), ki se marsikdaj shranjujejo v bazo,
• podatki, ki so po novi GDPR uredbi še posebej občutljivi (na primer seznam e-mail naslovov uporabnikov, prijavljenih na e-novice, zbranih preko spletne strani).


Prav tako pridobivanje (pomembnih) podatkov ni edina posledica SQL injection ranljivosti, ampak obstajajo številne druge grožnje, kot so:

• nepooblaščeno spreminjanje, vpisovanje in brisanje podatkov v bazi,
• vnašanje zlonamernih datotek v bazo, prek katerih lahko prevzamemo nadzor nad strežnikom,
• ‘Denial of Service’ napadi na bazo in posledično na celoten informacijski sistem,
• nepooblaščena prijava v raznorazna prijavna okna, ki so povezana z uporabniki v bazi idr.


S katerimi orodji lahko najdemo in izrabimo ranljivost?

Na voljo so močna in učinkovita orodja za zaznavanje in izrabo ranljivosti. Prav zaradi visoke ‘popularnosti’ med napadalci, so se sčasoma razvila zelo močna orodja, s katerimi lahko napadalci učinkovito napadajo ranljive aplikacije, kljub pomanjkanju znanja o bazah in baznih jezikih. V praksi dve zelo uporabni orodji sta Burp Scanner in SQLMap, s katerima lahko enako učinkovito spoznamo in razumemo naravo SQL injection ranljivosti in tako ustrezno ukrepamo.


“Pri preprečevanju ranljivosti imamo na voljo dva pristopa, in sicer ustrezno programiranje skript spletne aplikacije, kot tudi nekatere druge mehanizme, s katerimi lahko omilimo posledice ali celo preprečimo pojav ranljivosti,” razlaga Vladimir Ban, strokovnjak za kibernetsko varnost v podjetju Smart Com, ki je tudi avtor bele knjige Odkrivanje in preprečevanje SQL Injection. V njej je zbral koristne nasvete in praktične pristope, s katerimi se ranljivosti lahko uspešno izognete.


Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem SMART COM d.o.o.
Za več informacij so vam na voljo pri SMART COM d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SMART COM d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

ELKOTEX d.o.o.

Magistrova ulica 1, 1000 Ljubljana, Tel: 01 583 79 10
Elkotex, d. o. o., je grosistično podjetje za nadaljnjo prodajo podjetjem, fizičnim in spletnim trgovinam ter trgovskim verigam. So distributer IT opreme in uporabne elektronike, ... Več

MORDICOM d.o.o.

Šolska ulica 40, 5250 Solkan, Tel: 05 330 03 60
Skoraj nemogoče je preceniti vpliv rešitev za načrtovanje virov podjetja (ERP) v sodobnem poslovnem svetu. ERP sistemi so nadomestili nepovezane delovne tokove in nezdružljiva ... Več

Komponentko d.o.o.

Ulica Ambrožiča Novljana 5, 1000 Ljubljana, Tel: 030 755 005
Računalniške ponudbe je v Sloveniji ogromno. Dobre računalniške ponudbe pa zelo malo. Vsak, ki se odloča za nakup računalnika, grafične kartice ali katerekoli druge računalniške ... Več
Zlati partner

Mastercard Europe SA, Podružnica v Sloveniji

Dimičeva ulica 13, 1000 Ljubljana, Tel: +386 1 589 81 26
Mastercard Europe SA, Podružnica v Sloveniji, je globalno tehnološko podjetje za plačilne rešitve. Družba je del mreže Mastercard, ki obsega več kot 210 držav in ozemelj po ... Več