SQL inyeksiyası - Haqqinda Melumat

SQL inyeksiyası (ing. SQL injection) — zərərli SQL ifadələrinin icra üçün giriş sahəsinə daxil edildiyi (məsələn, verilənlər bazasında olan məlumatları ələ keçirmək üçün) verilənlərə əsaslanan tətbiqlərə hücum etmək üçün istifadə edilən kod yeritmə texnikası. Bu hücum texnikasından istifadə edərək hakerlər SQL verilənlər bazasının məzmununu köçürə, dəyişdirə və silə bilərlər. SQL inyeksiyası əsasən veb saytlar üçün hücum vektoru kimi tanınır, lakin istənilən növ SQL verilənlər bazasına hücum etmək üçün istifadə edilə bilər.

SQL inyeksiya hücumları təcavüzkarlara şəxsiyyəti saxtalaşdırmağa, mövcud məlumatlara müdaxilə etməyə, əməliyyatları ləğv etmək və ya balansları dəyişdirmək, rədd etmə problemlərinə səbəb olmağa, sistemdəki bütün məlumatların tam açıqlanmasına, məlumatları məhv etməyə və ya başqa cür əlçatmaz hala gətirməyə imkan verir. Sənəd yönümlü NoSQL verilənlər bazaları da bu təhlükəsizlik zəifliyindən təsirlənə bilər.

2012-ci ildə aparılan bir araşdırmada, orta hesabla veb tətbiqinin ayda dörd hücum kampaniyası aldığı, pərakəndə satıcıların isə digər sənaye sahələrinə nisbətən iki dəfə çox hücum aldığı müşahidə edildi.

Tarix

SQL inyeksiyasının ilk ictimai müzakirələri təxminən 1998-ci ildə görünməyə başladı; məsələn, Phrack Magazine-də 1998-ci il məqaləsi.

Həmçinin bax

İstinadlar

Microsoft. . avqust 2, 2013 tarixində . İstifadə tarixi: avqust 4, 2013. SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker.
Zhuo, Z.; Cai, T.; Zhang, X.; Lv, F. . IET Software (ingilis). 15 (2). 2021-03-12: 188–197. doi:. ISSN .
. 2023-09-01 tarixində . İstifadə tarixi: 2023-10-16.
Imperva. (PDF). iyul 2012. sentyabr 7, 2013 tarixində (PDF). İstifadə tarixi: avqust 4, 2013. Retailers suffer 2x as many SQL injection attacks as other industries. / While most web applications receive 4 or more web attack campaigns per month, some websites are constantly under attack. / One observed website was under attack 176 out of 180 days, or 98% of the time.
Sean Michael Kerner. . noyabr 25, 2013. mart 18, 2014 tarixində .
Jeff Forristal (signing as rain.forest.puppy). . . 8 (54 (article 8)). dekabr 25, 1998. mart 19, 2014 tarixində .

Xarici keçidlər

, OWASP tərəfindən.
— Veb Tətbiq Təhlükəsizliyi Konsorsiumu tərəfindən SQL inyeksiyasına girişi.
noyabr 9, 2012, at the Wayback Machine, Stuart Thomas tərəfindən.
Bala Neerumalla tərəfindən.

[1] Microsoft. . avqust 2, 2013 tarixində . İstifadə tarixi: avqust 4, 2013. SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker.

[2] Zhuo, Z.; Cai, T.; Zhang, X.; Lv, F. . IET Software (ingilis). 15 (2). 2021-03-12: 188–197. doi:. ISSN .

[3] . 2023-09-01 tarixində . İstifadə tarixi: 2023-10-16.

[4] Imperva. (PDF). iyul 2012. sentyabr 7, 2013 tarixində (PDF). İstifadə tarixi: avqust 4, 2013. Retailers suffer 2x as many SQL injection attacks as other industries. / While most web applications receive 4 or more web attack campaigns per month, some websites are constantly under attack. / One observed website was under attack 176 out of 180 days, or 98% of the time.

[5] Sean Michael Kerner. . noyabr 25, 2013. mart 18, 2014 tarixində .

[6] Jeff Forristal (signing as rain.forest.puppy). . . 8 (54 (article 8)). dekabr 25, 1998. mart 19, 2014 tarixində .