SQL инјекција
SQL инјекција (енгл. SQL injection) је процес "инјектовања" посебног кода у базу података, што хакерима обично омогућава приступ администраторском панелу и дифејсовање сајта.[1] Обично су мете неосигурани сајтови са MySQL базама података, која има сигурносни пропуст. Све је више таквих напада, а администратори се труде да поправе грешке у системима. Упркос томе хакери и даље проналазе нове недостатке система и сваког дана се хакује мноштво сајтова.[2]
Слепа SQL инјекција[уреди | уреди извор]
Слепа SQL инјекција (енгл. Blind SQL injection) је слична обичној SQL инјекцији, само што код ње подаци нису видљиви нападачу. Нападачу је потребно много више времена него за основну SQL инјекцију, да би, извлачећи слово по слово, успио извући податке. Данас постоје разне алатке које аутоматизују такве нападе али, некад ни оне саме не могу пронаћи одговарајуће податке, захваљујући заштитама, као што је Mod Security[3]
Верзије база података које су рањиве на нападе[уреди | уреди извор]
Верзија које су рањиве на SQL инјекцију има много. У неким случајевима, иако база података није рањива, скрипта која има пропуст у коду, може приказати садржај базе. У том случају, потребно је закрпити пропуст, што је прије могуће.
| База | Рањива верзија |
|---|---|
| MySQL | 5.0 и више |
| Microsoft Access | 7.0 и мање |
| Oracle DB | 10.2-11.2 |
Извори[уреди | уреди извор]
- ^ Microsoft. „SQL Injection”. Приступљено 27. 11. 2013.
- ^ Imperva (1. 7. 2012). „Imperva Web Application Attack Report” (ПДФ). Приступљено 27. 11. 2013.
- ^ „Mod Security”. Приступљено 8. 10. 2022.
Спољашње везе[уреди | уреди извор]
- „Complete Reference Guide to SQLi-How Attack Happens and How to Prevent SQL Injection”. World of Hacker. Архивирано из оригинала 3. 12. 2013. г. Приступљено 8. 10. 2022.
- WASC Threat Classification - SQL Injection Entry, by the Web Application Security Consortium.
- ОWАСП СQЛ Ињецтион Цхеат Схеетс, бy ОWАСП
- Why SQL Injection Won't Go Away Архивирано на сајту Wayback Machine (9. новембар 2012), by Stuart Thomas.
