Tìm hiểu về SQL injection trong bảo mật

Download

Tìm hiểu về SQL injection trong bảo mật

Xem trực tuyến
  • Đánh giá:
  • Dung lượng:566 KB
  • Định dạng:docx
  • Ngày cập nhật:
  • Lượt tải863 lượt tải
Giới thiệu

SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp. Nhưng rất nhiều lập trình viên vẫn chưa nhận thức được mức độ nguy hiểm của nó.

Downtailieu.com chia sẻ tài liệu SQL injection trong bảo mật để hiểu được bản chất, cách tấn công, tìm biện pháp phòng tránh các lỗ hỏng,… SQL injection.

SQL injection trong bảo mật thông tin

Tìm hiểu về SQL injection

I. Tìm hiểu về SQL injection

1. SQL injection là gì?

SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnh SQL bất hợp pháp. SQL injection có thể cho phép những kẻ tấn công thực hiện các thao tác, delete, insert, update,… trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy, lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase…

2. Tác hại của SQL injection

+ SQL Injection là một trong các kiểu tấn công phổ biến nhất đang được sử dụng trên Internet.

+ Mặc dù phương thức tấn công là tương đối cũ và đã có rất nhiều phương pháp phòng chống hiệu quả được đưa ra nhưng rất nhiều lập trình viên vẫn chưa nhận thức được mức độ nguy hiểm của nó và chưa áp dụng biện pháp phòng chống nào cho website của mình.

+ Tùy vào từng hệ thống mà thiệt hại do SQL injection gây ra là khác nhau. Tin tặc có thể phá hoại hệ thống hoặc nghiêm trọng hơn là ăn cắp thông tin người dùng để thực hiện các hành vi bất hợp pháp.

3. Nguyên nhân gây ra lỗi SQL injection

Lỗi SQL injection thường xảy ra do lập trình viên hay người dùng định nghĩa đầu vào dữ liệu không rõ ràng hoặc thiếu bước kiểm tra và lọc kiểu dữ liệu đầu vào.

4. Công cụ dùng để tấn công

Công cụ dùng để tấn công là một trình duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, …

5. Các dạng lỗi thường gặp

a, Không kiểm tra ký tự thoát truy vấn

Đây là dạng lỗi SQL injection xảy ra khi thiếu đoạn mã kiểm tra dữ liệu đầu vào trong câu truy vấn SQL. Kết quả là người dùng cuối có thể thực hiện một số truy vấn không mong muốn đối với cơ sở dữ liệu của ứng dụng.

b, Xử lý không đúng kiểu

Lỗi SQL injection dạng này thường xảy ra do lập trình viên hay người dùng định nghĩa đầu vào dữ liệu không rõ ràng hoặc thiếu bước kiểm tra và lọc kiểu dữ liệu đầu vào. Điều này có thể xảy ra khi một trường số được sử dụng trong truy vấn SQL nhưng lập trình viên lại thiếu bước kiểm tra dữ liệu đầu vào để xác minh kiểu của dữ liệu mà người dùng nhập vào có phải là số hay không.

c, Lỗi bảo mật bên trong máy chủ cơ sở dữ liệu

Đôi khi lỗ hổng có thể tồn tại chính trong phần mềm máy chủ cơ sở dữ liệu, như là trường hợp hàm mysql_real_escape_string() của các máy chủ MySQL. Điều này sẽ cho phép kẻ tấn công có thể thực hiện một cuộc tấn công SQL injection thành công dựa trên những ký tự Unicode.

d, Blind SQL injection

Lỗi SQL injection dạng này là dạng lỗi tồn tại ngay trong ứng dụng web nhưng hậu quả của chúng lại không hiển thị trực quan cho những kẻ tấn công. Nó có thể gây ra sự sai khác khi hiển thị nội dung của một trang chứa lỗi bảo mật này, hậu quả của sự tấn công SQL injection dạng này khiến cho lập trình viên hay người dùng phải mất rất nhiều thời gian để phục hồi chính xác từng bit dữ liệu. Những kẻ tấn công còn có thể sử dụng một số công cụ để dò tìm lỗi dạng này và tấn công với những thông tin đã được thiết lập sẵn.

 

Tìm hiểu về SQL injection trong bảo mật
5 (100%) 1 vote
Nội dung trên chỉ thể hiện một phần hoặc nhiều phần trích dẫn. Để có đầy đủ, chi tiết và đúng định dạng, bạn vui lòng tải về Tìm hiểu về SQL injection trong bảo mật để xem

Bài viết mới nhất

Download mẫu đơn xin việc theo ngành cho người chưa có kinh nghiệm

Download mẫu đơn xin việc theo ngành cho người chưa có kinh nghiệm

Đối với tất cả những bạn sinh viên mới ra trường hay những người đã đi làm nhưng vì một lý do nào đó muốn đổi một công việc thì khi tìm một công việc mới chúng ta đều cần.