SQL injekcija

TINKLALAPIŲ SAUGUMAS

SQL injekcija

SQL injekcija (angl. SQL injection) – paplitęs tinklalapių ir programų, dirbančių su duomenų bazėmis, užvaldymo būdas. Užvaldymas pagrįstas specialaus SQL kodo įterpimu į užklausą. Tokia užklausa, priklausomai nuo duomenų bazės valdymo sistemos ir kitų dalykų, gali leisti:

perskaityti lentelių turinį;
pašalinti, pakeisti ir pridėti duomenis lentelėje;
skaityti (rašyti) failus, esančius atakuojamame serveryje;
vykdyti komandas atakuojamame serveryje.

Kaip apsisaugoti?

rūpintis kokybišku informacinių sistemų programavimu;
filtruoti SQL užklausos eilutes ir skaičius;
taikyti sudėtingesnius būdus SQL užklausos kontrolės būdus.

Tam, kad apsisaugoti nuo šio tipo atakų, reikia patikrinti kiekvieną argumentą, perdudodamą SQL užklausai. Galima naudoti PHP funkciją mysql_real_escape_string(), o skaitinėms reikšmėms patikrinti, ar tai tikrai skaičius, naudojant is_numeric() arba typecast'inant kintamąjį į skaičių, naudojant settype() arba (int)$kintamasis.

Plačiau: Wikipedijoje

Rekomendacijos

dėl interneto svetainių ir jų įrangos kibernetinio saugumo gerinimo:

1. Patikrinti ugniasienių, per kurias kontroliuojamas naudotojų prisijungimas iš viešųjų eletroninių ryšių tinklų, sąrankų (konfigūracijų) atitiktį gamintojų siūlomoms praktikoms.

2. Sukonfigūruoti ugniasienes taip, kad prie tinklalapių turinio valdymo sistemų (TVS) būtų galima jungtis tik iš vidinio įmonės tinklo arba nustatytų IP adresų (tai daroma naudojant .htaccess failą);

3. Uždaryti nenaudojamus prievadus ir nuolat kontroliuoti prisijungimus per naudojamus prievadus.

4. Uždrausti prisijungimą prie serverių visais prievadais ir protokolais (išskyrus tuos, kurie būtini tinklalapiui funkcionuoti).

5. Vykdyti pažeidžiamumų paiešką nuolat tikrinant interneto svetainių, duomenų bazių saugumą su skenavimo programine įranga.

6. Naudoti tinklo taikomųjų programų ugniasienę (angl. Web Application Firewall).

7. Jei naudojamos atviro kodo TVS (pvz., Wordpress, Joomla), nuolat atnaujinti jas.

8. Nenaudoti nereikalingų TVS įskiepių (angl. plugins), nuolat atnaujinti naudojamus įskiepius.

9. Nuolat keisti administratoriaus ir kitų naudotojų, turinčių prieigą prie TVS, slaptažodžius.

10. Likviduoti interneto svetaines, kurių valdytojai negali užtikrinti, kad būtų laikomasi nustatytų saugos reikalavimų ir rekomendacijų.