SQL Injection Scanner Tools
a gyenge webalkalmazás-kód lehetővé teszi a hackerek számára az adatbázishoz és a hálózathoz való hozzáférést
SQL Injection áttekintés
az SQL injection jelenleg a webhely támadásának leggyakoribb formája, mivel a webes űrlapok nagyon gyakoriak, gyakran nem megfelelően vannak kódolva, és a gyengeségek megtalálásához és kihasználásához használt hacker eszközök gyakran elérhetők az interneten. Ez a fajta exploit elég könnyű elérni, hogy még tapasztalatlan hackerek lehet elérni bajt. A nagyon képzett hacker kezében azonban a webkód gyengesége felfedheti a webszerverek root szintű hozzáférését, és onnan támadásokat lehet végrehajtani más hálózati szerverek ellen.
a strukturált lekérdezési nyelv (SQL) az adatbázisok szinte univerzális nyelve, amely lehetővé teszi az adatok tárolását, kezelését és visszakeresését. Az SQL-t használó adatbázisok közé tartozik az MS SQL Server, a MySQL, az Oracle, az Access és a Filemaker Pro, és ezek az adatbázisok ugyanúgy az SQL injekciós támadásnak vannak kitéve.
a webalapú űrlapoknak lehetővé kell tenniük az adatbázishoz való hozzáférést az adatok beviteléhez és a válaszadáshoz, így ez a fajta támadás megkerüli a tűzfalakat és a végpontvédelmet. Bármely webes űrlap, még egy egyszerű bejelentkezési űrlap vagy keresőmező is, hozzáférést biztosíthat az adatokhoz az SQL injekció segítségével, ha helytelenül van kódolva.
hogyan működik az SQL Injection
a kilátásoknak, az ügyfeleknek, az alkalmazottaknak és az üzleti partnereknek joguk van tárolni vagy letölteni az adatokat az adatbázisból. Webhelye valószínűleg lehetővé teszi bármely webhely látogatójának az adatok benyújtását és lekérését. A látogatók törvényes hozzáférése magában foglalja a webhelykeresést, a regisztrációs űrlapokat, a kapcsolatfelvételi űrlapokat, a bejelentkezési űrlapokat, és ezek mindegyike ablakot biztosít az adatbázisba. Ezek a különböző hozzáférési pontok valószínűleg beépülnek az’ off-the-shelf ‘ alkalmazásokba, vagy lehetnek egyedi alkalmazások, amelyeket csak az Ön webhelyére állítottak be. Ezek az űrlapok és azok támogató kódjai valószínűleg sok forrásból származnak, különböző időpontokban szerezték be, és valószínűleg különböző emberek telepítették őket.
az SQL injection ezen nyilvánosan elérhető mezők használata az adatbázisba való belépéshez. Ez úgy történik, hogy SQL parancsokat ír be az űrlapmezőkbe a várt adatok helyett. A nem megfelelően kódolt űrlapok lehetővé teszik a hackerek számára, hogy belépési pontként használják őket az adatbázisba, ahol az adatbázisban lévő adatok láthatóvá válhatnak, és hozzáférhetnek más adatbázisokhoz ugyanazon a szerveren vagy a hálózat más szerverein.
a webhely olyan funkciói, mint a kapcsolatfelvételi űrlapok, a bejelentkezési oldalak, a támogatási kérelmek, a keresési funkciók, a visszajelzési mezők, a bevásárlókocsik és még a dinamikus weboldal-tartalmat biztosító funkciók is érzékenyek az SQL injekciós támadásra, mivel a látogatói használatra bemutatott mezőknek lehetővé kell tenniük legalább néhány SQL parancs közvetlen átjutását az adatbázisba.
SQL Injection Risk
mivel az adatbázisok számos webhelyfunkciót vezérelnek, szinte az összes webhely meghívja a látogatók bevitelét, és sok webes űrlap sebezhető, az SQL injection vált és évek óta a webhely Hacker eszközének leggyakoribb formája. Emellett olyan sok bűnöző használja az SQL injekciót, hogy szinte naponta új szerver -, alkalmazás-és kódgyengeségeket fedeznek fel.
saját feljegyzéseink azt mutatják, hogy a legtöbb (több mint fele) a weboldalak már kérte, hogy átvizsgálja volt SQL injection kockázatok magas vagy közepes szinten. A magas szintű kockázat az, amely gyakorlatilag egy nyitott, nem őrzött ajtó. A közepes kockázat az, amely egy vagy több más tényezővel kombinálva problémát jelenthet. Még nagyobb számú webhelynek volt alacsony kockázati problémája. Amit tudnod kell: a legalább egy fő kockázattal rendelkező webhelyek százalékos aránya valójában növekszik.
annak ellenére, hogy az SQL injekció évek óta ismert probléma, számos tényező okozza a kockázat növekedését. Az első az, hogy több vállalat kínál több webhely interakciót a látogatókkal, és ez a tendencia drámaian növekszik. A második az, hogy ahogy egyre több hacker szerez ismereteket az SQL injection terén, egyre több olyan alkalmazást és szolgáltatást fedeznek fel, amelyek hajlamosak a támadásra, és új támadásokat fejlesztenek ki a régi alkalmazások ellen. Az eredmény a támadási módszer használatának szinte exponenciális növekedése.
az SQL injection használatával történő sikeres támadás kockázata két tényezőtől függ: a vállalkozás jellegétől és méretétől, valamint az alkalmazások frissítéseinek és javításainak korától, állapotától, valamint a technikai személyzet készségétől és számától. Attól függ, hogy érdekes célpont vagy-e, és hogy a webszerver, az alkalmazások és a webhely kódja jól megtervezett, jól integrált és rendelkezik-e az összes aktuális javítással és frissítéssel.
webhelye közvetlen veszélyben van, ha cége nagy értékű adatokat tárol, ha vállalata vagy jogi személye erősen vitatott üzleti területen működik, vagy ha webhelyének politikai vagy társadalmi jelentősége vagy értéke van. Természetesen, ha van valami pénzbeli értéke, akkor célpont vagy. De akkor is célpont vagy, ha webhelye véleményvezető egy vitatott környezetben. A bloggerek segítséget kértek tőlünk, mert az ott tárgyalt téma SQL injekciós támadásokat vonzott.
az SQL injekciós támadásokat most online kérik. Egy ideges ügyfél, versenyző, vagy akár a volt házastárs most könnyen bérelhet ‘script kiddie’ – t – vagy ami még rosszabb, tehetséges hacker-egy webhely megtámadására. A hacker elkapásának esélye alacsony. Nagy az esély arra, hogy az ideges fél kárt okozhat a webhelyén anélkül, hogy ujjazna, mivel a felelős fél nagy.
technikailag fennáll az SQL-befecskendezés veszélye, ha olyan berendezéssel vagy alkalmazással rendelkezik, amelyet nem rendszeresen frissítettek és javítottak, vagy ha a webhelyén nem megfelelően írt kód van. A berendezések kora, az alkalmazások és a kód a kockázat durva mutatója. A másik az érintett szerverek száma, az alkalmazások száma és a webhely hozzáférési pontjainak száma. Ha hosztolt kiszolgálókat használ, vagy ha kiszervezett technikai erőforrásokat használ, akkor fontos a webhely biztonságának harmadik fél általi felülvizsgálata. És még a házon belüli személyzet is annyira szorulhat az időre és az erőforrásokra, hogy a frissítések és javítások késhetnek, vagy a régi régi kód megfelelő felülvizsgálat nélkül használható.
SQL Injection Example
minden alkalommal, amikor egy webhely látogatója adatokat ír be a webhely egyik űrlapjába, egy SQL lekérdezés jön létre és kerül az adatbázisba. Egyszerű bejelentkezési űrlap esetén a felhasználónév és a jelszó megjelenik az adatbázisban, és ha érvényes, az adatbázis válaszol, és a felhasználó hozzáférést kap (vagy nem). Tehát nem számít, mennyire egyszerű az űrlap vagy a webes folyamat, adatbázis-hozzáférésre van szükség, és válasz várható.
az SQL injection használatával a hacker megpróbál egy speciálisan kialakított SQL parancsokat beírni egy űrlapmezőbe a várt információk helyett. A szándék az, hogy olyan választ biztosítson az adatbázisból, amely segít a hackernek megérteni az adatbázis felépítését, például a táblázatneveket. A következő lépés a fontos táblák adatainak elérése és megtekintése, vagy Adatok hozzáadása a táblákhoz, például új fiókok vagy felhasználónevek és jelszavak hozzáadása. A harmadik lépés nagyjából az lenne, hogy az adatbázishoz való hozzáférés segítségével felfedezzék és megváltoztassák a szerver biztonsági beállításait, amelyek lehetővé teszik a hackerek adminisztratív hozzáférését.
bármely dinamikus szkriptnyelv, beleértve az ASP-t is, ASP.NET, a PHP, a JSP és a CGI sebezhető a támadásokkal szemben. Az egyetlen szükséges eszköz egy webböngésző. Vannak széles körben elérhető online eszközök, amelyek félig automatizálják a gyengeségek keresésének folyamatát, és sok olyan fórum van, ahol a hackerek megosztják a kihasználásokat és segítik egymást az akadályok leküzdésében.
SQL Injection eredmények
ahogy el tudod képzelni, egy hacker egyre adminisztratív hozzáférést a szerver azt jelenti, hogy akkor ténylegesen elvesztette az összes adatot, hogy a szerver a támadó. Még rosszabb, hogy a tűzfal mögött van egy strandfej, ahonnan más szerverek és szolgáltatások elleni támadások is végrehajthatók. Ily módon az SQL injection hozzáférést biztosít minden vállalati vagy személyes adathoz.
a hacker szempontjából a hackelés olyan része, amely majdnem olyan fontos, mint a betörés, a titoktartás fenntartása. Valamilyen ‘riasztás’ beindítása az utolsó dolog, amit tenni akarnak. A beszivárgási munkájuk időt vesz igénybe, és gyakran az ellopott adatok értéke csökken, ha a lopást felfedezik (például személyazonosság-lopás vagy hitelkártya-lopás esetén). Így az SQL injection hackeket gyakran hónapokkal, egyes esetekben évekkel a kezdeményezésük után fedezik fel.
Alternatív megoldásként, ha a közvetlen kár a szándék, akkor nincs hiány rossz dolgokból, amelyeket meg lehet tenni egy adatbázissal, miután hozzáférést kapott a futó parancsokhoz. Egy teljes tábla véglegesen törölhető egyetlen SQL paranccsal. Azonban egy kifinomultabb SQL injekciós támadás magában foglalhatja a nagy adatbázisok hatalmas sérülését, sőt a biztonsági másolatok megsemmisítését is.
védelem az SQL Injection ellen
mivel a webhelyek állandó hozzáférést igényelnek az adatbázishoz, a tűzfalak alig vagy egyáltalán nem nyújtanak védelmet az SQL injection támadások ellen. A webhely nyilvános, és a tűzfalakat úgy kell beállítani, hogy minden webhelylátogató hozzáférhessen az adatbázisához, általában a 80/443-as porton keresztül.
a víruskereső programok ugyanolyan hatástalanok az SQL injekciós támadások blokkolásában. Céljuk egy teljesen másfajta bejövő adat észlelése és megállítása.
a leggyakrabban használt SQL injekciós védelem két összetevőből áll. Először az összes szerver, szolgáltatás és alkalmazás rutinszerű frissítése és javítása, amely természetesen számos előnnyel jár, és általános gyakorlat. Aztán ott van a jól megírt és jól tesztelt webhelykód előállítása és használata, amely tiltja a váratlan SQL parancsokat.
ez a két védelem definíció szerint elegendő az SQL injekciós támadás megállításához. Tehát miért növekszik a webhelyek sebezhetősége és kockázata, és miért fordulnak elő gyakrabban a sikeres támadások? A válaszok mindegyike egyszerű, és össze egy ijesztő listát:
- a kiszolgálók, alkalmazások és a kódok mennyisége növekszik a weboldalakon
- ezek a szerverek, alkalmazások és kódnyelvek néha kiszámíthatatlan módon lépnek kapcsolatba egymással
- a frissítések és javítások száma és gyakorisága növekszik
- az informatikai részlegek több munkát végeznek kevesebb személyzettel, és egyes tevékenységeket, például a frissítéseket elhalasztják
- az informatikai személyzet fluktuációja és az elbocsátások néha álcázott lyukakat hagynak a biztonsági rutinokban
- minden javítás és frissítés automatikus telepítése gyakran nemkívánatos mellékhatások
- a régi kódot gyakran újra használják, amikor a webhelyeket frissítik, néha a régi szabványok szerint írt kódot használják jóval azután, hogy elavult
- a hackelést megkísérlő emberek száma és a hackelés egyszerűsítésére rendelkezésre álló eszközök száma szinte exponenciálisan növekszik
egyre több, hatalmas kockázati tényezőkkel és nagy webes lábnyomokkal rendelkező vállalat arra a következtetésre jut, hogy mindent foltoz, és több személyzetet vesz fel a munka megfigyelésére a meglévő személyzet már nem életképes.
Web Site SQL Injection Scanner Tool Solution
az SQL injection támadások (és minden más webalapú támadás) új megoldása az, hogy korlátozott és értékes informatikai időt összpontosítson a ténylegesen fennálló súlyos kockázatokra, ahelyett, hogy Puskás megközelítést alkalmazna, és minden lehetséges javítást alkalmazna minden szerverre, minden alkalmazásra és minden kódlapra, függetlenül attól, hogy szükség volt-e rá vagy sem. Ez az új megközelítés olyan, mintha egy orvos értékelné a beteget, és tiltaná az egyetlen gyógyszert, amely a gyógymód előállításához szükséges, ahelyett, hogy a beteg közvetlenül a gyógyszertárba menne, hogy minden lehetséges gyógyszert megkapjon, és egyszerre vegye be őket.
így nagyobb biztonság érhető el a webalkalmazás-tesztelő eszközök, például a beSECURE használatával, mint SQL injection scanner eszköz, amely megvizsgálja (beolvassa) egy webhelyet több ezer ismert támadás listájával, majd jelentést tesz a viszonylag kevés (általában kevesebb, mint egy tucat) súlyos kérdésről.
a weboldal szkennelése az ismert kockázatok észlelésén és jelentésén alapul. A közös hackelés nagyon nyilvános tevékenység. Az eszközöket széles körben népszerűsítik. A technikákat széles körben terjesztik a nyilvános fórumokon. Még az új módszerek is nyilvánosságra kerülnek az első használatuktól számított órákban vagy napokban, olyan csoportoknak köszönhetően, mint SecuriTeam.com és mások, akik figyelnek, majd nagyjából figyelmeztetnek másokat.
a BeSECURE, az automatizált sebezhetőség-észlelő rendszer egy webalapú szolgáltatás, amely az összes ismert kockázatot családokba és minden családba összeállítja egyetlen adatbázisba, amelynek összeállítása sok évbe telt, és napi sok órát igényel. Ennek az adatbázisnak a használatával a beSECURE bármely webhelyet kiértékelhet, és jelentést készíthet a valós és jelenlegi kockázatokról, amelyek relatív fontosságuk szerint vannak besorolva – gyakran órákon belül és a folyamatban lévő webhelytevékenységek zavarása nélkül.
mostantól az értékes informatikai munkaórákat közvetlenül kezelheti a valós kockázatokkal, például az SQL-befecskendezéssel, ahelyett, hogy több száz órát töltene javítások és frissítések telepítésével, amelyek többségére nincs szüksége, vagy amelyek olyan kicsi kockázatokat kezelnek, amelyek elhanyagolhatóak.
További információ a beSECURE kérjük, használja az űrlapot ezen az oldalon, vagy lépjen kapcsolatba velünk.