SQLインジェクションスキャナツール
弱いwebアプリコードは、ハッカーがデータベースやネットワークにアクセスできるようにすることができます
SQLインジェクションの概要
SQLインジェクションは、現在、webフォームが非常に一般的であり、しばしば適切にコード化されておらず、弱点を見つけて利用するために使用されるハッキングツールがオンラインで一般的に利用可能であるという点で、WEBサイト攻撃の最も一般的な形式です。 この種の悪用は、経験の浅いハッカーでもいたずらを達成できることを達成するのに十分簡単です。 しかし、非常に熟練したハッカーの手の中で、webコードの弱点は、webサーバーのルートレベルのアクセスを明らかにすることができ、そこから他のネットワークサーバー
構造化クエリ言語(SQL)は、データの格納、操作、および取得を可能にするデータベースのほぼ普遍的な言語です。 SQLを使用するデータベースには、MS SQL Server、MySQL、Oracle、Access、Filemaker Proなどがあり、これらのデータベースも同様にSQLインジェクション攻撃の対象となります。
Webベースのフォームは、データと応答の入力を許可するためにデータベースへのアクセスを許可する必要があるため、この種の攻撃はファイアウォールとエ 単純なログオンフォームや検索ボックスであっても、webフォームでは、正しくコード化されていない場合は、SQLインジェクションを使用してデータにアクセ
SQLインジェクションの仕組み
見込み客、顧客、従業員、ビジネスパートナーはすべて、データベースから情報を保存または取得する権利を持っています。 あなたのサイトは、おそらく任意のサイト訪問者がデータを送信し、取得することができます。 訪問者のための正当なアクセスは場所の調査を含んでいたり、形態、接触の形態、ログオンの形態を署名し、これらすべてはあなたのデータベースに窓を アクセスのこれらのさまざまなポイントは’既製の’適用でかなり多分組み込まれるか、またはあなたの場所のためにちょうどセットアップされる注文の適用であるかもしれない。 これらのフォームとそのサポートコードは、多くのソースから来ている可能性が高く、異なる時間に取得され、おそらく異なる人々によっ
SQLインジェクションは、これらの公開されているフィールドを使用してデータベースにエントリを取得することです。 これは、予想されるデータではなく、フォームフィールドにSQLコマンドを入力することによって行われます。 不適切にコード化されたフォームは、ハッカーがデータベース内のデータが表示されるようになり、同じサーバー上の他のデータベースやネットワーク内の他のサーバーにア
コンタクトフォーム、ログオンページ、サポート要求、検索機能、フィードバックフィールド、ショッピングカート、動的なwebページコンテンツを配信する機能などのWebサ
SQLインジェクションリスク
データベースは多くのwebサイト機能を制御するため、ほぼすべてのwebサイトは訪問者からの入力を招待し、非常に多くのweb さらに、非常に多くの犯罪者がSQLインジェクションを使用しているため、新しいサーバー、アプリケーション、コードの弱点がほぼ毎日発見されています。
私たち自身の記録によると、スキャンを依頼されたウェブサイトのほとんど(半分以上)には、SQLインジェクションのリスクが高いか中程度のレベル リスクの高いレベルは、効果的にロック解除された、無防備なドアであるものです。 中程度のリスクは、一つ以上の他の要因と組み合わせたときにトラブルを意味する可能性があるものです。 さらに多くのサイトでは、リスクの低い問題が発生しました。 あなたが知っておくべきこと:少なくとも一つの主要なリスクを持っているサイトの割合は、実際に増加しています。
SQLインジェクションは何年も前から既知の問題でしたが、リスク率が増加する原因となるいくつかの要因があります。 まず、より多くの企業が訪問者とのより多くのwebサイトの相互作用を提供しており、この傾向が劇的に増加していることです。 第二に、より多くのハッカーがSQLインジェクションのスキルを習得するにつれて、攻撃の影響を受けやすいアプリケーションやサービスを発見し、古いアプ その結果、この攻撃方法を使用する機会がほぼ指数関数的に増加します。
SQLインジェクションを使用して正常に攻撃されるリスクは、ビジネスの性質と規模、年齢、アプリケーションの更新とパッチのステータス、技術スタッフ それはあなたが興味深いターゲットであるかどうか、そしてあなたのwebサーバー、その上のアプリケーションとあなたのwebサイトのコードがうまく設計され、
あなたの会社が価値の高いデータを保存している場合、あなたの会社またはエンティティが競争の激しいビジネス分野で運営されている場合、ま 当然のことながら、金銭的価値の何かを持っている場合は、ターゲットです。 しかし、あなたのサイトが論争のある環境でオピニオンリーダーであれば、あなたもターゲットです。 そこで取り上げられた主題がSQLインジェクション攻撃を引き起こしたため、ブロガーから助けを求められました。
SQLインジェクション攻撃がオンラインで募集されています。 動揺した顧客、競争相手、また更に元配偶者は今容易に’原稿の子供’を雇うことができる–またはより悪い、有能なハッカー–場所を攻撃するために。 ハッカーが捕まる可能性は低いです。 責任者が高いので動揺党が指されることなしであなたの場所への損傷を引き起こすことができるチャンス。
技術的には、日常的に更新およびパッチが適用されていない機器やアプリケーションがある場合、またはサイトに正しく記述されていないコードがあ 機器の年齢、アプリケーション、およびコードは、リスクの大まかな指標です。 もう1つは、関連するサーバーの数、アプリケーションの数、およびwebサイトのアクセスポイントの数です。 ホストされたサーバーを使用している場合、または外部委託された技術リソースを使用している場合は、サイトのセキュリティの第三者のレビューが重要 また、社内のスタッフでさえ、更新やパッチが遅れたり、古いレガシーコードが適切なレビューなしで使用されたりするようなリソースに時間と短い時間を
SQLインジェクションの例
webサイトの訪問者がサイト上のフォームにデータを入力するたびに、SQLクエリが生成され、データベースに配信されます。 単純なログオンフォームの場合、ユーザー名とパスワードがデータベースに提示され、有効な場合、データベースは回答で応答し、ユーザーはアクセスを許可されます(また そのため、フォームやwebプロセスがどれほど単純であっても、データベースアクセスが必要であり、応答が期待されます。
SQLインジェクションを使用すると、ハッカーは予期される情報の代わりに、特別に細工されたSQLコマンドをフォームフィールドに入力しようとします。 その目的は、ハッカーがテーブル名などのデータベース構築を理解するのに役立つデータベースからの応答を保護することです。 次のステップは、重要なテーブルのデータにアクセスして表示するか、新しいアカウントやユーザー名やパスワードの追加など、テーブルにデータを追加するこ 第三のステップは、大まかには、データベースへのアクセスを使用して、ハッカーの管理アクセスを許可するサーバー上のセキュリティ設定を検出して変更す
ASPを含む任意の動的スクリプト言語、ASP.NET、PHP、JSP、およびCGIは攻撃に対して脆弱です。 必要な唯一の機器は、webブラウザです。 弱点を検索するプロセスを半自動化するオンラインで広く利用可能なツールがあり、ハッカーが悪用を共有し、お互いが障害を克服するのを助ける多くのフォーラムがあります。
SQLインジェクションの結果
ご想像のとおり、ハッカーがサーバーへの管理アクセス権を取得すると、そのサーバー上のすべてのデータが侵入者に効果的に失 さらに悪いことに、ファイアウォールの背後には、他のサーバーやサービスへの攻撃を行うことができるビーチヘッドがあります。 このようにして、SQLインジェクションは、すべての会社または個人データへのアクセスを提供できます。
ハッカーの観点から見ると、侵入とほぼ同じくらい重要なハックの構成要素は秘密を維持している。 いくつかの並べ替えの”アラーム”をオフに設定すると、彼らがやりたい最後のものです。 彼らの侵入作業には時間がかかり、盗難が発見された場合、盗まれたデータの価値が低下することがよくあります(例えば、個人情報の盗難やクレジットカードの盗難の価値の情報)。 したがって、SQLインジェクションハックは、多くの場合、その開始後数ヶ月、いくつかのケースで数年を発見されています。
あるいは、完全な損傷が意図である場合、実行中のコマンドにアクセスできるようになったら、データベースに行うことができる悪いことは不足しません。 単一のSQLコマンドを使用して、テーブル全体を完全に削除できます。 しかし、より洗練されたSQLインジェクション攻撃は、大規模なデータベースの大規模な破損やバックアップコピーの破壊を含む可能性があります。
SQLインジェクションに対する防御
webサイトはデータベースへの常時アクセスを必要とするため、ファイアウォールはSQLインジェクション攻撃に対する防御をほとんど、あるいはまったく提供しません。 あなたのウェブサイトは公開されており、ファイアウォールは、通常はポート80/443を介して、すべてのサイト訪問者がデータベースにアクセ
ウイルス対策プログラムは、SQLインジェクション攻撃をブロックするのにも同様に効果がありません。 それらは、まったく異なる種類の着信データを検出して停止することを意図しています。
最も一般的に使用されるSQLインジェクション防御は、二つのコンポーネントで構成されています。 まず、すべてのサーバー、サービス、およびアプリケーションの定期的な更新とパッチ適用がありますが、これはもちろん多くの利点があり、一般的な方法です。 次に、予期しないSQLコマンドを許可しない、よく書かれた、よくテストされたwebサイトコードを生成して使用しています。
これら二つの防御は定義上、SQLインジェクション攻撃を停止するのに十分です。 では、なぜwebサイトの脆弱性とリスクが増加しているのか、なぜ成功した攻撃がより頻繁に発生しているのか? 答えはそれぞれ簡単で、困難なリストに結合します:
- webサイト上のサーバー、アプリケーション、コードの数が増加している
- これらのサーバー、アプリケーション、コード言語は、時には予測できない方法で相互に対話しています
- 更新やパッチの数と頻度が増加しています
- IT部門は、より少ないスタッフでより多くの作業を行っており、更新などのいくつかの活動が延期されています
- ITスタッフの離職率そして、レイオフは、時にはセキュリティルーチン
- にカモフラージュされた穴を残して、頻繁に来るすべてのパッチと更新を自動的にイ 不要な副作用
- レガシーコードは、サイトが更新されたときに再使用されることが多く、古い標準に書かれたコードを廃止された後も長い間使用され続けることがあります
- ハッキングをしようとする人の数とハッキングを簡素化するために利用可能なツールの数はほぼ指数関数的に上昇しています
巨大なリスク要因と大きなウェブ”足跡”を持つ企業は、すべてにパッチを適用し、より多くのスタッフを雇うことを結論づけるようになっています。既存のスタッフの仕事はもはや実行可能ではありません。
Web Site SQL Injection Scanner Tool Solution
SQLインジェクション攻撃(およびその他のすべてのwebベースの攻撃)に対する新しいソリューションは、shotgunアプローチを使用し、すべてのサーバー、すべ この新しいアプローチは、医師が患者を評価し、治療法を生成するために必要とされる一つの薬をproscribeするのではなく、患者がすべての可能な薬を取得し、一度にそれらをすべて取るために薬局に直接行く持っているようなものです。
このように、beSECUREのようなwebアプリケーション-テスト-ツールをSQLインジェクション-スキャナー-ツールとして使用して、何千もの既知の攻撃のリストを使用してwebサイトを検査(スキャン)し、比較的少数の(通常は十数件未満の)深刻な問題について報告することにより、より高いセキュリティが達成される。
Webサイトのスキャンは、既知のリスクのスポッティングと報告に基づいて動作します。 一般的なハッキングは非常に”公共の”活動です。 ツールは広く宣伝されています。 技術は広く公共のフォーラムで普及しています。 新しい方法でさえ、次のようなグループのおかげで、最初の使用から数時間または数日以内に公開されますSecuriTeam.com そして、他の人を見て、広く他の人に警告する人。
自動化された脆弱性検出システムであるBeSECUREは、すべての既知のリスクをファミリーにコンパイルし、すべてのファミリーを単一のデータベースにコンパイルするwebベースのサービスであり、コンパイルには何年もかかり、保守には何時間もかかっています。 このデータベースを使用してbeSECUREはウェブサイトを評価し、相対的な重要性に従って評価される実質および現在の危険のレポートを作り出すことができる–
今、あなたはあなたの貴重なITマン時間を取ることができ、直接SQLインジェクションなどの実際のリスクに対処するのではなく、パッチや更新をイ
beSECUREについてのより多くの情報のためにこのページの形態を使用するか、または私達に連絡して下さい。