Računalništvo, telefonija
13.06.2018 12:04

Deli z drugimi:

Share

SQL injection ranljivost

Se uvršča med najbolj znane ranljivosti spletnih aplikacij. Je sinonim za varnost spletnih aplikacij. In to povsem upravičeno, saj gre dejansko za eno izmed resnejših ranljivosti, ko ima napadalec veliko možnosti, da poseže po širokem naboru podatkov podjetja.
Nasveti in dobre prakse za zaščito
Nasveti in dobre prakse za zaščito

Ogroženi pa niso samo podatki, ki so neposredno povezani z ranljivo aplikacijo, ampak tudi marsikateri ostali.

Preko ranljivosti so namreč ogroženi tudi:

• podatki iz drugih aplikacij v podjetju, če se ti nahajajo na istem baznem strežniku,
• podatki o skrbnikih (gesla, uporabniška imena, dostopi), ki se marsikdaj shranjujejo v bazo,
• podatki, ki so po novi GDPR uredbi še posebej občutljivi (na primer seznam e-mail naslovov uporabnikov, prijavljenih na e-novice, zbranih preko spletne strani).


Prav tako pridobivanje (pomembnih) podatkov ni edina posledica SQL injection ranljivosti, ampak obstajajo številne druge grožnje, kot so:

• nepooblaščeno spreminjanje, vpisovanje in brisanje podatkov v bazi,
• vnašanje zlonamernih datotek v bazo, prek katerih lahko prevzamemo nadzor nad strežnikom,
• ‘Denial of Service’ napadi na bazo in posledično na celoten informacijski sistem,
• nepooblaščena prijava v raznorazna prijavna okna, ki so povezana z uporabniki v bazi idr.


S katerimi orodji lahko najdemo in izrabimo ranljivost?

Na voljo so močna in učinkovita orodja za zaznavanje in izrabo ranljivosti. Prav zaradi visoke ‘popularnosti’ med napadalci, so se sčasoma razvila zelo močna orodja, s katerimi lahko napadalci učinkovito napadajo ranljive aplikacije, kljub pomanjkanju znanja o bazah in baznih jezikih. V praksi dve zelo uporabni orodji sta Burp Scanner in SQLMap, s katerima lahko enako učinkovito spoznamo in razumemo naravo SQL injection ranljivosti in tako ustrezno ukrepamo.


“Pri preprečevanju ranljivosti imamo na voljo dva pristopa, in sicer ustrezno programiranje skript spletne aplikacije, kot tudi nekatere druge mehanizme, s katerimi lahko omilimo posledice ali celo preprečimo pojav ranljivosti,” razlaga Vladimir Ban, strokovnjak za kibernetsko varnost v podjetju Smart Com, ki je tudi avtor bele knjige Odkrivanje in preprečevanje SQL Injection. V njej je zbral koristne nasvete in praktične pristope, s katerimi se ranljivosti lahko uspešno izognete.


Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem SMART COM d.o.o.
Za več informacij so vam na voljo pri SMART COM d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SMART COM d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Zlati partner

VIBOR d.o.o.

Brnčičeva ulica 41d, 1231 Ljubljana Črnuče, Tel: 01 561 33 21
Podjetje Vibor z unikatnim pristopom že od leta 1993 zagotavlja neprekinjeno podporo celotni organizaciji z zanesljivo opremo ter rešitvami, ki poenostavljajo in povezujejo delovne ... Več
Zlati partner

NEWSROOM SLOVENIJA & ECETERA d.o.o.

Motnica 7a, 1236 Trzin, Tel: 01 600 10 10
Ecetera se je rodila leta 2001. Najprej se je morala spopasti s svojimi prvimi koraki na trgu in se boriti za obstoj v krutem svetu. Iz podjetja je napredovala v podjetje, ki se je ... Več
Zlati partner

iPROM d.o.o.

Šlandrova ulica 4b, 1231 Ljubljana Črnuče, Tel: 01 511 07 50
Digitalna odličnost, ki prepriča iPROM je hiša znanja in izkušenj, ki naročnikom poenostavlja kompleksnost trženja v digitalnem okolju. Pripravljajo, organizirajo in izvajajo ... Več

RDEČA ORANŽA d.o.o.

Titova cesta 2a, 2000 Maribor, Tel: 051 691 862
Razmišljajte kot vaši kupci Kako prepričati vaše potencialne kupce? Ste poskusili različne marketinške strategije, ki niso obrodile želenih rezultatov? S temi izzivi se zadnjih ... Več