Dari Wikipedia, ensiklopedia bebas
Sebuah SQL injection sering digunakan untuk menyerang keamanan dari sebuah situs web dengan memasukkan pernyataan SQL dalam bentuk web untuk mendapatkan website yang dirancang buruk untuk melakukan operasi pada database (sering untuk dump isi database untuk penyerang) selain operasi biasanya sebagai dimaksudkan oleh perancang. SQL injection adalah kode injeksi teknik yang mengeksploitasi kerentanan keamanan dalam perangkat lunak sebuah website. Kerentanan terjadi ketika masukan pengguna baik benar disaring untuk karakter escape string literal tertanam dalam pernyataan SQL atau masukan pengguna tidak bertipe kuat dan tak terduga dieksekusi. Perintah SQL sehingga disuntikkan dari formulir web ke database dari sebuah aplikasi (seperti query) untuk mengubah isi database atau membuang informasi database seperti kartu kredit atau password untuk penyerang. SQL injection adalah kebanyakan dikenal sebagai vektor serangan untuk website tetapi dapat digunakan untuk menyerang semua jenis database SQL.
Menggunakan dirancang dengan baik interpreter bahasa query dapat mencegah SQL suntikan. Di alam liar, telah dicatat bahwa aplikasi pengalaman, rata-rata, 71 jam usaha [1]. Bila diserang langsung, beberapa aplikasi terkadang berada di bawah serangan agresif dan pada puncaknya mereka, diserang 800-1300 kali per jam. [ 1]
Isi
[Sembunyikan]
1 Bentuk kerentanan
2 Teknis Implementasi
2,1 karakter melarikan diri tidak disaring secara benar
2,2 Salah penanganan jenis
2,3 Blind SQL injection
2.3.1 Bersyarat tanggapan
3 Mitigasi
3.1 parameterized pernyataan
3.1.1 Penegakan pada tingkat pengkodean
3,2 Escaping
Dikenal 4 contoh-contoh nyata
5 Lihat juga
6 Referensi
7 Pranala luar
[Sunting] Bentuk kerentanan
SQL Injection Attack (SQLIA) dianggap salah satu dari 10 kerentanan atas aplikasi web tahun 2007 dan 2010 oleh Proyek Keamanan Aplikasi Web Buka [2] Vektor menyerang berisi lima utama sub-kelas tergantung pada aspek teknis penyebaran serangan itu.: [Kutipan diperlukan]
Klasik SQLIA
Inferensi SQL Injection
Intracting dengan SQL Injection
DBMS yang spesifik SQLIA
Diperparah SQLIA
Beberapa peneliti keamanan mengusulkan bahwa Klasik SQLIA sudah usang [3] meskipun aplikasi web banyak yang tidak mengeras melawan mereka. Inferensi SQLIA masih ancaman, karena penyebaran yang dinamis dan fleksibel sebagai skenario menyerang. DBMS yang spesifik SQLIA harus dianggap sebagai mendukung terlepas dari pemanfaatan Classic atau SQLIA Inferensi. SQLIA diperparah adalah istilah baru yang berasal dari penelitian tentang SQL Injection Menyerang Vector dalam kombinasi dengan serangan aplikasi web yang berbeda sebagai:
SQL Injection + Kurangnya otentikasi [4]
SQL Injection serangan DDos + [5]
SQL Injection + DNS Pembajakan [6]
SQL Injection + XSS [7]
Worm Storm salah satu representasi dari SQLIA Compounded [8] Sebuah gambaran lengkap dari SQL Injection klasifikasi disajikan dalam gambar berikut, Krassen Deltchev pada tahun 2010.
0 komentar:
Posting Komentar