Инъекция SQL-кода
Материал из Викиреальностя
Инъекция SQL-кода — один из методов взлома сайтов, использующих обращения к СУБД.
Содержание |
[править] Сущность метода
Метод заключается в подмене легитимных SQL запросов к СУБД нелегитимными путём выискивания дыр в скриптах сервера.
[править] Пример
Простейшим примером инъекции SQL-кода может служить функция UNION SELECT, подобная следующей:
- http://site.com/index.php?id=X+UNION+SELECT
где X — случайное значение, подбираемое брутфорсом.
[править] Способы противодействия
Для противодействия данному методу необходимо:
- Своевременно обновлять PHP-скрипты сервера (для закрытия возможных дыр). В скриптах следует экранировать пользовательские данные, передаваемые в базу данных.
- Обновлять версию СУБД (поскольку в случае взлома при наличии соответствующей дыры в СУБД хакер может прочитать содержимое файла /etc/shadow либо любого другого в котором хранятся пароли пользователей, либо записать что-либо в другие файлы, а затем провести SSH-атаку на сервер).
[править] Интересные факты
- Для автоматизации атаки хакером может быть использована утилита для пентестинга (например sqlmap, входящая в состав Kali Linux).
- В июле 2016 года методом инъекции SQL-кода был взломан форум Ubuntu[1].
[править] Примечания
- ↑ Мария Нефёдова Форумы Ubuntu снова взломали, пострадали данные 2 млн пользователей. Хакер (2016-07-18). Проверено 6 августа 2019.
[править] Ссылки
Инъекция SQL-кода относится к теме «Информационная безопасность» |