Računalništvo, telefonija
13.06.2018 12:04

Deli z drugimi:

Share

SQL injection ranljivost

Se uvršča med najbolj znane ranljivosti spletnih aplikacij. Je sinonim za varnost spletnih aplikacij. In to povsem upravičeno, saj gre dejansko za eno izmed resnejših ranljivosti, ko ima napadalec veliko možnosti, da poseže po širokem naboru podatkov podjetja.
Nasveti in dobre prakse za zaščito
Nasveti in dobre prakse za zaščito

Ogroženi pa niso samo podatki, ki so neposredno povezani z ranljivo aplikacijo, ampak tudi marsikateri ostali.

Preko ranljivosti so namreč ogroženi tudi:

• podatki iz drugih aplikacij v podjetju, če se ti nahajajo na istem baznem strežniku,
• podatki o skrbnikih (gesla, uporabniška imena, dostopi), ki se marsikdaj shranjujejo v bazo,
• podatki, ki so po novi GDPR uredbi še posebej občutljivi (na primer seznam e-mail naslovov uporabnikov, prijavljenih na e-novice, zbranih preko spletne strani).


Prav tako pridobivanje (pomembnih) podatkov ni edina posledica SQL injection ranljivosti, ampak obstajajo številne druge grožnje, kot so:

• nepooblaščeno spreminjanje, vpisovanje in brisanje podatkov v bazi,
• vnašanje zlonamernih datotek v bazo, prek katerih lahko prevzamemo nadzor nad strežnikom,
• ‘Denial of Service’ napadi na bazo in posledično na celoten informacijski sistem,
• nepooblaščena prijava v raznorazna prijavna okna, ki so povezana z uporabniki v bazi idr.


S katerimi orodji lahko najdemo in izrabimo ranljivost?

Na voljo so močna in učinkovita orodja za zaznavanje in izrabo ranljivosti. Prav zaradi visoke ‘popularnosti’ med napadalci, so se sčasoma razvila zelo močna orodja, s katerimi lahko napadalci učinkovito napadajo ranljive aplikacije, kljub pomanjkanju znanja o bazah in baznih jezikih. V praksi dve zelo uporabni orodji sta Burp Scanner in SQLMap, s katerima lahko enako učinkovito spoznamo in razumemo naravo SQL injection ranljivosti in tako ustrezno ukrepamo.


“Pri preprečevanju ranljivosti imamo na voljo dva pristopa, in sicer ustrezno programiranje skript spletne aplikacije, kot tudi nekatere druge mehanizme, s katerimi lahko omilimo posledice ali celo preprečimo pojav ranljivosti,” razlaga Vladimir Ban, strokovnjak za kibernetsko varnost v podjetju Smart Com, ki je tudi avtor bele knjige Odkrivanje in preprečevanje SQL Injection. V njej je zbral koristne nasvete in praktične pristope, s katerimi se ranljivosti lahko uspešno izognete.


Vam je bila novica zanimiva?

Povejte prijateljem, da ste novico prebrali na Računalniških novicah.

Share
Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem SMART COM d.o.o.
Za več informacij so vam na voljo pri SMART COM d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem SMART COM d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

OBLIKOVANJE.COM

Slovenska ulica 25, 9000 Murska Sobota, Tel: 02 522 14 21
Podjetje Oblikovanje.com je v slovenskem računalniškem prostoru prisotno že od samega začetka. Z več kot 20 leti izkušenj ter s strategijo kakovostnega poslovanja in storitev ... Več
Zlati partner

INSIS d.o.o.

Erjavčeva ulica 18, 5000 Nova Gorica, Tel: 041 938 792
Podjetje Insis, d. o. o., se s spletno prodajo ukvarja že od leta 2009. Ekipa spletne trgovine PoceniPC.com vestno skrbi za svoje kupce. Najbolj so veseli vašega zadovoljstva, zato ... Več
Zlati partner

XENON FORTE d.o.o.

Letališka cesta 29, 1000 Ljubljana, Tel: 01 548 48 00
Xenon forte d.o.o. je podjetje s 30-letno tradicijo. V celotnem času svojega obstoja se zavzema za odličnost in verodostojnost. Skupaj s podjetji Xenon forte Zagreb d.o.o., Xenon ... Več
Zlati partner

3WAY d.o.o.

Štalčeva ulica 5, 1215 Medvode, Tel: 01 361 70 14
Podjetje 3WAY se ukvarja s prodajo 3D printerjev, 3D skenerjev in programskih paketov CAD/CAM/PLM. Poleg tega nudijo tudi storitve na področju 3D tehnologij. So popolna rešitev, ... Več