آموزش دایرکت ادمین، سی پنل، وب سایت پنل

خانه / آموزشگاه آنلاین / CEH / SQL Injection / ﺣﻤﻼت SQLInjection و راهکارﻫﺎی ﻣﻘﺎﺑﻠﻪ

ﺣﻤﻼت SQLInjection و راهکارﻫﺎی ﻣﻘﺎﺑﻠﻪ

SQL injection web attack

از ﻃﺮﯾﻖ اﻃﻼﻋﺎت ورودی از ﺳﻮی SQL (ﯾﮏ ﺟﺴﺘﺠﻮی injection) (ﺷﺎﻣﻞ وارد ﮐﺮدن و ﯾﺎ ﺗﺰرﯾﻖ SQL Injection) SQL ﯾﮏ ﺣﻤﻠﻪ ی ﺗﺰرﯾﻖ  ﻣﯽ ﺗﻮاﻧﺪ اﻃﻼﻋﺎت ﺣﺴﺎس را از ﺑﺎﻧﮏ اﻃﻼﻋﺎت ﺑﺨﻮاﻧﺪ، اﻃﻼﻋﺎت را ﺗﻐﯿﯿﺮ SQL (ﻣﻮﻓﻖ ﺗﺰرﯾﻖ exploit) ﮐﺎرﺑﺮ ﺑﻪ ﺑﺮﻧﺎﻣﻪ ﻣﯽ ﺑﺎﺷﺪ .ﯾﮏ ﺑﻬﺮه ﺑﺮداری (، ﻣﺤﺘﻮﯾﺎت ﯾﮏ ﻓﺎﯾﻞ ﺑﺮ DBMS (، ﻋﻤﻠﯿﺎت ﻣﺪﯾﺮﯾﺘﯽ ﺑﺮ روی ﺑﺎﻧﮏ اﻃﻼﻋﺎﺗﯽ اﺟﺮا ﮐﻨﺪ )ﻣﺎﻧﻨﺪ ﺧﺎﻣﻮش ﮐﺮدن Insert/Update/Delete)دﻫﺪ  ﮔﻮﻧﻪ ای از ﺣﻤﻼت SQL را ﺑﺎزﯾﺎﺑﯽ ﮐﻨﺪ و در ﺑﺮﺧﯽ ﺣﺎﻻت ﻓﺮﻣﺎن ﻫﺎﯾﯽ را ﺑﺮای ﺳﯿﺴﺘﻢ ﻋﺎﻣﻞ ﺻﺎدر ﮐﻨﺪ .ﺣﻤﻼت ﺗﺰرﯾﻖ DBMSروی ﺳﯿﺴﺘﻢ ﻓﺎﯾﻞ  SQL ﻗﻄﺎر – اﻃﻼﻋﺎت ﺗﺰرﯾﻖ ﻣﯽ ﺷﻮﻧﺪ ﺗﺎ ﺑﺮ روی اﺟﺮای دﺳﺘﻮرات از ﭘﯿﺶ ﺗﻌﯿﯿﻦ ﺷﺪه ی  ، داﺧﻞ ورودیSQLﺗﺰرﯾﻘﯽ ﻫﺴﺘﻨﺪ ﮐﻪ در ان دﺳﺘﻮرات ﺗﺎﺛﯿﺮ ﺑﮕﺬارﻧﺪ. ﯾﮏ ﺗﮑﻨﯿﮏ ﺗﺰرﯾﻖ ﮐﺪ اﺳﺖ ﮐﻪ ﯾﮏ اﺳﯿﺐ ﭘﺬﯾﺮی اﻣﻨﯿﺘﯽ ﮐﻪ در ﻻﯾﻪ ﺑﺎﻧﮏ اﻃﻼﻋﺎﺗﯽ ﯾﮏ ﺑﺮﻧﺎﻣﻪ رخ ﻣﯽ دﻫﺪ را اﮐﺴﭙﻠﻮﯾﺖ ﻣﯽ ﮐﻨﺪ SQLﺗﺰرﯾﻖ   . ﯾﮑﯽ از ﻗﺪﯾﻤﯽ ﺗﺮﯾﻦ ﺣﻤﻼت ﻋﻠﯿﻪ ﺑﺮﻧﺎﻣﻪ ﻫﺎی ﺗﺤﺖ وب ﻣﯽ ﺑﺎﺷﺪSQLﺗﺰرﯾﻖ  ﺑﻪ ﺷﮑﻞ ﻧﺎدرﺳﺘﯽ از ورودی SQL رﺷﺘﻪ ﻫﺎی ﻟﯿﺘﺮال ﺟﺎﺳﺎزی ﺷﺪه در ﺟﻤﻼت escapeاﯾﻦ اﺳﯿﺐ ﭘﺬﯾﺮی ﻫﻨﮕﺎﻣﯽ وﺟﻮد دارد ﮐﻪ ﮐﺎراﮐﺘﺮ ﻫﺎی ﮐﺎرﺑﺮ ﻓﯿﻠﺘﺮ ﺷﺪه ﺑﺎﺷﺪ و ﯾﺎ ورودی ﮐﺎرﺑﺮ ﻃﺒﻘﻪ ﺑﻨﺪی ﻧﺸﺪه ﺑﺎﺷﺪ و در ﻧﺘﯿﺠﻪ ﺑﻪ ﺻﻮرت ﻏﯿﺮ ﻣﻨﺘﻈﺮه اﺟﺮا ﻣﯽ ﺷﻮد .اﯾﻦ ﯾﮏ ﻧﻤﻮﻧﻪ از ﮐﻼس ﺟﺎﻣﻌﯽ از اﺳﯿﺐ ﭘﺬﯾﺮی ﻫﺎﺳﺖ ﮐﻪ ﻫﻨﮕﺎﻣﯽ رخ ﻣﯽ دﻫﻨﺪ ﮐﻪ ﺑﺮﻧﺎﻣﻪ ﻧﻮﯾﺴﯽ و ﯾﺎ زﺑﺎن اﺳﮑﺮﯾﭙﺖ ﻧﻮﯾﺴﯽ در داﺧﻞ دﯾﮕﺮی ﺟﺎﺳﺎزی ﺷﺪه اﻧﺪ.

دانلود مقاله SqlInjection و راهکار مقابله