Isi kandungan:
- Definisi - Apa yang dimaksudkan dengan SQL Suntikan Serangan?
- Techopedia menerangkan Serangan Suntikan SQL
Definisi - Apa yang dimaksudkan dengan SQL Suntikan Serangan?
Serangan suntikan SQL adalah percubaan untuk mengeluarkan arahan SQL ke pangkalan data melalui antara muka laman web. Ini untuk mendapatkan maklumat pangkalan data yang tersimpan, termasuk nama pengguna dan kata laluan.
Teknik suntikan kod ini mengeksploitasi kelemahan keselamatan dalam lapisan pangkalan data aplikasi. Hacker mengeksploitasi tapak web berkod buruk dan aplikasi web untuk menyuntik arahan SQL, contohnya, memanfaatkan borang login untuk mendapatkan akses kepada data yang disimpan dalam pangkalan data.
Secara ringkas, serangan suntikan SQL berlaku kerana medan input pengguna membenarkan pernyataan SQL untuk melewati dan terus menanyakan pangkalan data.
Techopedia menerangkan Serangan Suntikan SQL
Laman web moden termasuk halaman masuk, halaman carian, sokongan dan borang permintaan produk, kereta belanja, borang maklum balas dan sebagainya.
Ciri-ciri laman web ini semua terdedah kepada serangan suntikan SQL kerana ketersediaan medan input pengguna. Penyerang dengan mudah boleh melaksanakan pernyataan SQL sewenang-wenang jika laman web ini terdedah kepada suntikan SQL. Ini boleh menjejaskan integriti pangkalan data dan boleh mendedahkan data sensitif.
Berdasarkan pangkalan data back-end yang digunakan, kelemahan suntikan SQL boleh mengakibatkan pelbagai serangan suntikan. Penyerang boleh memanipulasi pertanyaan sedia ada, menggunakan subselect, atau menambah pertanyaan tambahan. Dalam sesetengah keadaan, mungkin juga mungkin untuk membaca atau menulis ke fail. Juga, penyerang boleh melaksanakan perintah shell pada sistem operasi root (OS).
Sesetengah pelayan SQL seperti Microsoft SQL Server menggabungkan prosedur yang disimpan dan dilanjutkan. Sekiranya penyerang suntikan SQL mendapat akses kepada prosedur ini, ia boleh menyebabkan hasil yang sangat tidak diingini. Laman web kod dan webapp yang tidak benar betul-betul terdedah kepada serangan semacam ini.
Cara yang ideal untuk mengelakkan serangan suntikan adalah dengan mengesan kelemahan laman web dan apl web sebelum hidup. Terdapat pengimbas suntikan SQL automatik yang membantu penguji penetrasi mengesahkan kelemahan laman web dan aplikasi web untuk serangan suntikan SQL yang berpotensi.
Ini membantu pentadbir web untuk segera membetulkan kod terdedah dan melindungi laman web dari mana-mana serangan suntikan SQL yang berpotensi.
