SQL Injection: Difference between revisions
From ICO wiki
Jump to navigationJump to search
No edit summary |
No edit summary |
||
Line 1: | Line 1: | ||
== Autor == | |||
Marti Reinsaar | '''Nimi:''' Marti Reinsaar<br /> | ||
'''Grupp:''' A21 (2013/2014)<br /> | |||
== Sissejuhatus == | |||
OWASP (Open Web Application Security Project) on Injection tüüpi ründed liigitanud 2013 Top10 seisuga esikohale. | |||
Siin kirjatükis keskendume SQL Injection tüüpi rünnetele ning anname aimu millega on üldse tegemist. | |||
== Klassid == | |||
Klassikaline SQLI | |||
Blind või Inference SQL injection | |||
Andmebaasisüsteemi spetsiifiline SQLI | |||
Ühendatud SQLI ründed | |||
*SQL injection + ebaturvaline autentimine | |||
*SQL injection + DDoS ründed | |||
*SQL injection + DNS ründed | |||
*SQL injection + XSS | |||
== Injection tüüpi ründed == | |||
SQL, OS, LDAP Injection tüüpi rünnete puhul kasutatakse ära mitmeid teatud nõrkusi applikatsioonides. | |||
Ründaja saab eksitada serverit ning seejärel käivitada mitmeid käske või hankida teavet ilma, et peaks olema autoriseeritud. | |||
== Kaitse SQL Injectioni vastu == | |||
Üks levinud variant on kasutada SQL rünnete vastu SQL tulemüüri - näiteks GreenSQL. | |||
GreenSQL - https://wiki.itcollege.ee/index.php/GreenSQL | |||
[[Category:IT_infrastruktuuri_teenused]] | [[Category:IT_infrastruktuuri_teenused]] |
Revision as of 22:54, 18 May 2014
Autor
Nimi: Marti Reinsaar
Grupp: A21 (2013/2014)
Sissejuhatus
OWASP (Open Web Application Security Project) on Injection tüüpi ründed liigitanud 2013 Top10 seisuga esikohale.
Siin kirjatükis keskendume SQL Injection tüüpi rünnetele ning anname aimu millega on üldse tegemist.
Klassid
Klassikaline SQLI Blind või Inference SQL injection Andmebaasisüsteemi spetsiifiline SQLI Ühendatud SQLI ründed *SQL injection + ebaturvaline autentimine *SQL injection + DDoS ründed *SQL injection + DNS ründed *SQL injection + XSS
Injection tüüpi ründed
SQL, OS, LDAP Injection tüüpi rünnete puhul kasutatakse ära mitmeid teatud nõrkusi applikatsioonides.
Ründaja saab eksitada serverit ning seejärel käivitada mitmeid käske või hankida teavet ilma, et peaks olema autoriseeritud.
Kaitse SQL Injectioni vastu
Üks levinud variant on kasutada SQL rünnete vastu SQL tulemüüri - näiteks GreenSQL.
GreenSQL - https://wiki.itcollege.ee/index.php/GreenSQL