SQL inyeksiyası

SQL inyeksiyası (ing. SQL injection) — zərərli SQL ifadələrinin icra üçün giriş sahəsinə daxil edildiyi (məsələn, verilənlər bazasında olan məlumatları ələ keçirmək üçün) verilənlərə əsaslanan tətbiqlərə hücum etmək üçün istifadə edilən kod yeritmə texnikası.^[1]^[2] Bu hücum texnikasından istifadə edərək hakerlər SQL verilənlər bazasının məzmununu köçürə, dəyişdirə və silə bilərlər. SQL inyeksiyası əsasən veb saytlar üçün hücum vektoru kimi tanınır, lakin istənilən növ SQL verilənlər bazasına hücum etmək üçün istifadə edilə bilər.

SQL inyeksiya hücumları təcavüzkarlara şəxsiyyəti saxtalaşdırmağa, mövcud məlumatlara müdaxilə etməyə, əməliyyatları ləğv etmək və ya balansları dəyişdirmək, rədd etmə problemlərinə səbəb olmağa, sistemdəki bütün məlumatların tam açıqlanmasına, məlumatları məhv etməyə və ya başqa cür əlçatmaz hala gətirməyə imkan verir. Sənəd yönümlü NoSQL verilənlər bazaları da bu təhlükəsizlik zəifliyindən təsirlənə bilər.^[3]

2012-ci ildə aparılan bir araşdırmada, orta hesabla veb tətbiqinin ayda dörd hücum kampaniyası aldığı, pərakəndə satıcıların isə digər sənaye sahələrinə nisbətən iki dəfə çox hücum aldığı müşahidə edildi.^[4]

Tarix

SQL inyeksiyasının ilk ictimai müzakirələri təxminən 1998-ci ildə görünməyə başladı;^[5] məsələn, Phrack Magazine-də 1998-ci il məqaləsi.^[6]

Həmçinin bax

İstinadlar

↑ Microsoft. "SQL Injection". avqust 2, 2013 tarixində arxivləşdirilib. İstifadə tarixi: avqust 4, 2013. SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker.
↑ Zhuo, Z.; Cai, T.; Zhang, X.; Lv, F. "Long short‐term memory on abstract syntax tree for SQL injection detection". IET Software (ingilis). 15 (2). 2021-03-12: 188–197. doi:10.1049/sfw2.12018. ISSN 1751-8806.
↑ "Hacking NodeJS and MongoDB | Websecurify Blog". 2023-09-01 tarixində arxivləşdirilib. İstifadə tarixi: 2023-10-16.
↑ Imperva. "Imperva Web Application Attack Report" (PDF). iyul 2012. sentyabr 7, 2013 tarixində arxivləşdirilib (PDF). İstifadə tarixi: avqust 4, 2013. Retailers suffer 2x as many SQL injection attacks as other industries. / While most web applications receive 4 or more web attack campaigns per month, some websites are constantly under attack. / One observed website was under attack 176 out of 180 days, or 98% of the time.
↑ Sean Michael Kerner. "How Was SQL Injection Discovered? The researcher once known as Rain Forrest Puppy explains how he discovered the first SQL injection more than 15 years ago". noyabr 25, 2013. mart 18, 2014 tarixində arxivləşdirilib.
↑ Jeff Forristal (signing as rain.forest.puppy). "NT Web Technology Vulnerabilities". Phrack Magazine. 8 (54 (article 8)). dekabr 25, 1998. mart 19, 2014 tarixində arxivləşdirilib.

Xarici keçidlər

OWASP SQL Injection Cheat Sheets, OWASP tərəfindən.
WASC Təhlükə Təsnifatı — Veb Tətbiq Təhlükəsizliyi Konsorsiumu tərəfindən SQL inyeksiyasına girişi.
Why SQL Injection Won't Go Away Arxivləşdirilib noyabr 9, 2012, at the Wayback Machine, Stuart Thomas tərəfindən.
SDL Quick security references on SQL injection Bala Neerumalla tərəfindən.
How security flaws work: SQL injection

[1] Microsoft. "SQL Injection". avqust 2, 2013 tarixində arxivləşdirilib. İstifadə tarixi: avqust 4, 2013. SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker.

[2] Zhuo, Z.; Cai, T.; Zhang, X.; Lv, F. "Long short‐term memory on abstract syntax tree for SQL injection detection". IET Software (ingilis). 15 (2). 2021-03-12: 188–197. doi:10.1049/sfw2.12018. ISSN 1751-8806.

[3] "Hacking NodeJS and MongoDB | Websecurify Blog". 2023-09-01 tarixində arxivləşdirilib. İstifadə tarixi: 2023-10-16.

[4] Imperva. "Imperva Web Application Attack Report" (PDF). iyul 2012. sentyabr 7, 2013 tarixində arxivləşdirilib (PDF). İstifadə tarixi: avqust 4, 2013. Retailers suffer 2x as many SQL injection attacks as other industries. / While most web applications receive 4 or more web attack campaigns per month, some websites are constantly under attack. / One observed website was under attack 176 out of 180 days, or 98% of the time.

[5] Sean Michael Kerner. "How Was SQL Injection Discovered? The researcher once known as Rain Forrest Puppy explains how he discovered the first SQL injection more than 15 years ago". noyabr 25, 2013. mart 18, 2014 tarixində arxivləşdirilib.

[6] Jeff Forristal (signing as rain.forest.puppy). "NT Web Technology Vulnerabilities". Phrack Magazine. 8 (54 (article 8)). dekabr 25, 1998. mart 19, 2014 tarixində arxivləşdirilib.

[1]

[2]

[3]

[4]

[5]

[6]