Halaman

Rabu, 21 November 2012

Injeksi SQL



Dari Wikipedia, ensiklopedia bebas

Sebuah SQL injection sering digunakan untuk menyerang keamanan dari sebuah situs web dengan memasukkan pernyataan SQL dalam bentuk web untuk mendapatkan website yang dirancang buruk untuk melakukan operasi pada database (sering untuk dump isi database untuk penyerang) selain operasi biasanya sebagai dimaksudkan oleh perancang. SQL injection adalah kode injeksi teknik yang mengeksploitasi kerentanan keamanan dalam perangkat lunak sebuah website. Kerentanan terjadi ketika masukan pengguna baik benar disaring untuk karakter escape string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan tak terduga dieksekusi. Perintah SQL sehingga disuntikkan dari formulir web ke database dari sebuah aplikasi (seperti query) untuk mengubah isi database atau membuang informasi database seperti kartu kredit atau password untuk penyerang. SQL injection adalah kebanyakan dikenal sebagai vektor serangan untuk website tetapi dapat digunakan untuk menyerang semua jenis database SQL.

Menggunakan dirancang dengan baik interpreter bahasa query dapat mencegah SQL suntikan. Di alam liar, telah dicatat bahwa aplikasi pengalaman, rata-rata, 71 jam usaha [1]. Bila diserang langsung, beberapa aplikasi terkadang berada di bawah serangan agresif dan pada puncaknya mereka, diserang 800-1300 kali per jam. [ 1]
Isi
 [Sembunyikan]

    1 Bentuk kerentanan
    2 Teknis Implementasi
        2,1 karakter melarikan diri tidak disaring secara benar
        2,2 Salah penanganan jenis
        2,3 Blind SQL injection
            2.3.1 Bersyarat tanggapan
    3 Mitigasi
        3.1 parameterized pernyataan
            3.1.1 Penegakan pada tingkat pengkodean
        3,2 Escaping
    Dikenal 4 contoh-contoh nyata
    5 Lihat juga
    6 Referensi
    7 Pranala luar

[Sunting] Bentuk kerentanan

SQL Injection Attack (SQLIA) dianggap salah satu dari 10 kerentanan atas aplikasi web tahun 2007 dan 2010 oleh Proyek Keamanan Aplikasi Web Buka [2] Vektor menyerang berisi lima utama sub-kelas tergantung pada aspek teknis penyebaran serangan itu.: [Kutipan diperlukan]

    Klasik SQLIA
    Inferensi SQL Injection
    Intracting dengan SQL Injection
    DBMS yang spesifik SQLIA
    Diperparah SQLIA

Beberapa peneliti keamanan mengusulkan bahwa Klasik SQLIA sudah usang [3] meskipun aplikasi web banyak yang tidak mengeras melawan mereka. Inferensi SQLIA masih ancaman, karena penyebaran yang dinamis dan fleksibel sebagai skenario menyerang. DBMS yang spesifik SQLIA harus dianggap sebagai mendukung terlepas dari pemanfaatan Classic atau SQLIA Inferensi. SQLIA diperparah adalah istilah baru yang berasal dari penelitian tentang SQL Injection Menyerang Vector dalam kombinasi dengan serangan aplikasi web yang berbeda sebagai:

    SQL Injection + Kurangnya otentikasi [4]
    SQL Injection serangan DDos + [5]
    SQL Injection + DNS Pembajakan [6]
    SQL Injection + XSS [7]

Worm Storm salah satu representasi dari SQLIA Compounded [8] Sebuah gambaran lengkap dari SQL Injection klasifikasi disajikan dalam gambar berikut, Krassen Deltchev pada tahun 2010.

0 komentar:

Posting Komentar