ma'lumotlarni yo'q qiladi yoki boshqa yo'l bilan mavjud bo'lmaydi va ma'murga aylanadi.
ma'lumotlar bazasi serveri.
2012 yilgi tadqiqotda o'rtacha Web-ilova oyiga to'rtta hujum kampaniyasini qabul qilgani va
chakana sotuvchilar boshqa sohalarga qaraganda ikki baravar ko'p hujumlar olgani kuzatildi.
Bizning kunimizni chindan ham buzishi mumkin bo'lgan son-sanoqsiz hujumlarda SQL Injection
juda alohida o'ringa loyiqdir. Bu eng ko'p ishlatiladigan Web-tizimlarni buzish usullaridan
biridir. Ular ko'plab xakerlik vositalarida (masalan, sqlmap) qurollangan. Shu qadar ko'pki, bu
vositalar hatto malakali bo'lmagan xakerlarga ham o'ta halokatli hujumlarni amalga oshirishga
yordam beradi.
Muxtasar qilib aytganda, inyeksiya hujumchilari dastur mantig'iga o'zboshimchalik bilan kod
kiritishga intilishadi. Agar ular muvaffaqiyatli bo'lsa, ushbu kod dastur ruxsatnomalari va
xavfsizlik rollari yordamida bajariladi. Ushbu hujumlar masofaviy kodni bajarish hujumlarining
(RCE) kengroq toifasiga kiradi. Ya'ni, kodni yuklash (ikkilik yoki skript) va keyin uni bajarish
uchun serverni aldash.
Inyeksiya hujumlari uzoq vaqtdan beri OWASP-ning birinchi o'ntaligida xavfli bo'lgan va
shunday bo'lishi kerak. Yaxshi ishlab chiqilgan hujumlar dastur ma'lumotlarini osongina
o'zgartirishi va hatto ularning izlarini o'chirishi mumkin. SQL in'ektsiyasi bu tajovuzkor dastur
tomonidan ishlatiladigan SQL bandlarini o'zgartirishga va buzishga harakat qilganda.
Bizda allaqachon Java dasturlashda uning ba'zi jihatlarini o'z ichiga olgan o'quv qo'llanma
mavjud. Ushbu qo'llanmada biz SQL Injection nima ekanligini biroz ko'proq o'rganamiz. Bu
qanday ishlaydi va nima uni juda xavfli qiladi. Biz uning toifalari va chalkashlik usullarini ko'rib
chiqamiz va uni qanday tuzatishni ko'rsatamiz.
SQL Injection haqida. Hackerlarga tashkilotlardan ma'lumotlarni o'g'irlash imkonini beruvchi
ko'plab zaifliklar mavjud va SQL Injection ulardan biri. Bu, ehtimol, bugungi kunda
qo'llaniladigan eng keng tarqalgan amaliy qatlam hujum usullaridan biridir. Agar Web-ilovani
noto'g'ri kodlash amalga oshirilsa, xaker SQL buyruqlarini kiritishi mumkin. SQL buyruqlaridan
foydalangan holda xaker ma'lumotlaringizni o'g'irlashi, ma'lumotlaringizni o'zgartirishi va
ma'lumotlaringizni butunlay o'chirib tashlashi mumkin.
Oddiy so'zlar bilan aytganda, SQL in'ektsiyasi zararli foydalanuvchilar SQL buyruqlarini
Web-sahifa kiritish orqali SQL bayonotiga kiritishi mumkin bo'lgan texnikadan boshqa narsa
emas va bu kirish Web-ilovaning xavfsizligini buzishi mumkin. Endi biz ASP .NET Web-
saytlarida SQL Injection qanday amalga oshirilishi mumkinligini tushunamiz.
Keling, bir misol keltiraylik. Aytaylik, sizning ma'lumotlar bazangizda quyidagi kabi kirish
jadvali mavjud:
1.
Dostları ilə paylaş: