SQL Injection Scanner Tools

SQL Injection Scanner Tools

Svak web app kode kan tillate hackere tilgang til databasen og nettverket

SQL Injection Oversikt

SQL injection er i dag den vanligste formen for web site angrep i at webskjemaer er svært vanlig, ofte de ikke er kodet riktig og hacking verktøy som brukes til å finne svakheter og dra nytte av dem er allment tilgjengelig på nettet. Denne typen utnytte er lett nok til å oppnå at selv uerfarne hackere kan oppnå ugagn. Men i hendene på den svært dyktige hackeren kan en webkodesvakhet avsløre root – nivå tilgang til webservere, og derfra kan angrep på andre nettverksservere oppnås.

Structured Query Language (SQL) er det nesten universelle språket i databaser som tillater lagring, manipulering og gjenfinning av data. Databaser som bruker SQL inkluderer MS SQL Server, MySQL, Oracle, Access Og Filemaker Pro og disse databasene er like utsatt FOR SQL-injeksjon angrep.

Web – baserte skjemaer må tillate noen tilgang til databasen for å tillate oppføring av data og et svar, så denne typen angrep omgår brannmurer og endepunktsforsvar. Ethvert webskjema, selv et enkelt påloggingsskjema eller søkeboks, kan gi tilgang til dataene dine ved HJELP AV SQL-injeksjon hvis kodet feil.

SLIK FUNGERER SQL Injection

Prospekter, kunder, ansatte og forretningspartnere kan alle ha rett til å lagre eller hente informasjon fra databasen. Nettstedet ditt tillater sannsynligvis alle besøkende å sende inn og hente data. Legitim tilgang for besøkende inkluderer nettstedssøk, registreringsskjemaer, kontaktskjemaer, påloggingsskjemaer og alle disse gir vinduer i databasen din. Disse ulike tilgangspunkter er ganske muligens innlemmet i ‘off-the-sokkel’ programmer eller kan være tilpassede programmer satt opp bare for nettstedet ditt. Disse skjemaene og deres støttekode har sannsynligvis kommet fra mange kilder, ble kjøpt på forskjellige tidspunkter og muligens installert av forskjellige personer.

SQL injection er bruken av disse offentlig tilgjengelige feltene for å få tilgang til databasen. Dette gjøres ved å skrive INN SQL-kommandoer i skjemafeltene i stedet for de forventede dataene. Feilkodede skjemaer vil tillate en hacker å bruke dem som et inngangspunkt til databasen din, hvor dataene i databasen kan bli synlige og tilgang til andre databaser på samme server eller andre servere i nettverket kan være mulig.

Webområdefunksjoner som kontaktskjemaer, påloggingssider, støtteforespørsler, søkefunksjoner, tilbakemeldingsfelt, handlekurver og til og med funksjonene som leverer dynamisk nettsideinnhold, er alle utsatt for SQL-injeksjonsangrep fordi selve feltene som presenteres for besøkende, MÅ tillate minst NOEN SQL-kommandoer å passere direkte til databasen.

SQL Injection Risk

siden databaser kontrollere mange web site funksjoner, nesten alle nettsteder invitere innspill fra besøkende og så mange webskjemaer er sårbare, SQL injection har blitt og i år vært den vanligste formen for web site hacking verktøy som brukes. I tillegg bruker så mange kriminelle NÅ SQL-injeksjon at nye server -, program-og kodesvakheter blir oppdaget nesten daglig.

våre egne registre indikerer at de fleste (over halvparten) av nettstedene vi har blitt bedt om å skanne, hadde SQL-injeksjonsrisiko på Enten Høye eller Middels nivåer. En høy grad av risiko er en som er effektivt en ulåst, ubevoktet dør. En middels risiko er en som kombinert med en eller flere andre faktorer kan bety problemer. Et enda større antall nettsteder hadde Lav risiko problemer. Hva du trenger å vite: andelen nettsteder som har minst en stor risiko, øker faktisk.

SELV OM SQL-injeksjon har vært et kjent problem i mange år, er det flere faktorer som forårsaker risikoen for å øke. Først er at flere selskaper tilbyr mer nettsted interaksjon med besøkende, og denne trenden øker dramatisk. For det andre er at etter hvert som flere hackere får ferdigheter I SQL-injeksjon, oppdager de flere applikasjoner og tjenester som er utsatt for angrep og utvikler nye angrep på gamle applikasjoner. Resultatet er en nesten eksponentiell økning i mulighetene for å bruke denne angrepsmetoden.

risikoen for å bli angrepet ved HJELP AV SQL injection er basert på to faktorer: arten og størrelsen på virksomheten din og alder, status for oppdateringer og oppdateringer på programmene dine og ferdighetene og antallet av teknisk personale. Det koker ned til om du er et interessant mål og om webserveren din, applikasjonene på den og nettstedskoden din er godt utformet, godt integrert og har alle gjeldende oppdateringer og oppdateringer.

nettstedet ditt er i umiddelbar fare hvis firmaet lagrer data av høy verdi, hvis firmaet eller enheten opererer i et svært omstridt forretningsområde, eller hvis nettstedet ditt har politisk eller sosial betydning eller verdi. Naturligvis hvis du har noe av pengeverdi så er du et mål. Men du er også et mål hvis nettstedet ditt er en opinionsleder i et omstridt miljø. Vi har blitt spurt av bloggere om hjelp fordi emnet dekket der hadde trukket SQL-injeksjonsangrep.

SQL-injeksjonsangrep blir nå bedt om online. En opprørt kunde, konkurrent eller til og med ex ektefelle kan nå enkelt ansette en ‘script kiddie’ – eller verre, en talentfull hacker – for å angripe et nettsted. Sjansen for at hackeren blir fanget er lav. Sjansen for at opprørt partiet kan forårsake skade på nettstedet ditt uten å bli fingret som ansvarlig part er høy.

Teknisk sett er DU I FARE FOR SQL-injeksjon hvis du har utstyr eller programmer som ikke har blitt rutinemessig oppdatert og oppdatert, eller hvis du har kode på nettstedet ditt som ikke var riktig skrevet. Alderen på utstyret, applikasjonene og koden er en grov indikator for risiko. En annen er antall involverte servere, antall applikasjoner og antall tilgangspunkter for nettsteder. Hvis du bruker vertsbaserte servere eller hvis du bruker outsourcede tekniske ressurser, er det viktig med en tredjeparts gjennomgang av områdets sikkerhet. Og selv internt personale kan være så presset for tid og kort på ressurser at oppdateringer og oppdateringer kan bli forsinket eller gammel eldre kode blir brukt uten riktig gjennomgang.

EKSEMPEL PÅ SQL-Injeksjon

Hver gang en besøkende på et nettsted legger inn data I et skjema på nettstedet ditt, genereres EN SQL-spørring og leveres til databasen. I tilfelle av en enkel pålogging skjema brukernavn og passord er presentert til databasen og hvis gyldig, databasen svarer med et svar og brukeren får tilgang (eller ikke). Så, uansett hvor enkelt skjemaet eller webprosessen, er databasetilgang nødvendig og et svar forventes.

VED HJELP AV SQL-injeksjon, vil en hacker prøve å legge inn en spesielt utformet SQL-kommandoer i et skjemafelt i stedet for den forventede informasjonen. Hensikten er å sikre et svar fra databasen som vil hjelpe hackeren å forstå databasekonstruksjonen, for eksempel tabellnavn. Det neste trinnet er å få tilgang til og vise data i viktige tabeller eller legge til data i tabeller, for eksempel å legge til nye kontoer eller brukernavn og passord. Det tredje trinnet, omtrent, ville være å bruke tilgang til databasen for å oppdage og endre sikkerhetsinnstillinger på en server som ville tillate en hacker administrativ tilgang.

ethvert dynamisk skriptspråk inkludert ASP, ASP.NET PHP, JSP og CGI er sårbare for angrep. Det eneste utstyret som trengs er en nettleser. Det er verktøy som er allment tilgjengelige på nettet som vil halvautomatisere prosessen med å søke etter svakheter, og det er mange fora der hackere deler utnyttelser og hjelper hverandre å overvinne hindringer.

SQL Injection Utfall

som du kan forestille deg, en hacker få administrativ tilgang til serveren din betyr at du vil ha effektivt mistet alle dataene på serveren til inntrenger. Verre ennå er det nå et brohode bak brannmuren som angrep på andre servere og tjenester kan nå gjøres. PÅ DENNE måten KAN SQL injection gi tilgang til alle selskaps-eller persondata.

fra en hacker synspunkt en komponent del av hack som er nesten like viktig som innbrudd er å opprettholde hemmelighold. Sette av en ‘alarm’ av noe slag er det siste de ønsker å gjøre. Deres infiltrasjonsarbeid tar tid, og ofte faller verdien av stjålne data hvis tyveriet oppdages(informasjon om verdi i identitetstyveri eller kredittkorttyveri for eksempel). DERMED SQL injeksjon hacks er ofte oppdaget måneder og i noen tilfeller år etter deres initiering.

Alternativt, hvis direkte skade er hensikten, er det ingen mangel på dårlige ting som kan gjøres til en database når man har fått tilgang til kjørende kommandoer. En hel tabell kan slettes permanent ved hjelp AV en ENKELT SQL-kommando. Men et mer sofistikert SQL-injeksjonsangrep kan innebære massiv korrupsjon av store databaser og til og med ødeleggelse av sikkerhetskopier.

Forsvar Mot SQL Injection

fordi nettsteder krever konstant tilgang til databasen, gir brannmurer lite eller ingen forsvar mot SQL-injeksjonsangrep. Nettstedet ditt er offentlig og brannmurer må være satt til å tillate alle besøkende tilgang til databasen, vanligvis over port 80/443.

Antivirusprogrammer er like ineffektive for å blokkere SQL-injeksjonsangrep. De er ment å oppdage og stoppe en helt annen type innkommende data.

DET mest brukte SQL-injeksjonsforsvaret består av to komponenter. Først er det rutinemessig oppdatering og patching av alle servere, tjenester og applikasjoner som selvfølgelig har mange fordeler og er vanlig praksis. Så er det å produsere og bruke godt skrevet og godt testet nettside kode som forbyr uventede SQL-kommandoer.

Disse to forsvarene er per definisjon nok til å stoppe ET SQL-injeksjonsangrep. Så, hvorfor er web site sårbarheter og risiko på vei oppover, og hvorfor er vellykkede angrep forekommer oftere? Svarene er enkle, og kombineres til en skremmende liste:

  • antall servere, applikasjoner og kodevolum på nettsteder øker
  • disse serverne, applikasjonene og kodespråkene samhandler med hverandre på noen ganger uforutsigbare måter
  • antallet og hyppigheten av oppdateringer og oppdateringer øker
  • IT-avdelinger gjør mer arbeid med færre ansatte, og noen aktiviteter som oppdateringer blir utsatt
  • omsetning AV it-ansatte og oppsigelser noen ganger la kamuflert hull i sikkerhetsrutiner
  • automatisk installere hver patch og oppdatering som kommer sammen ofte produserer uønskede bivirkninger
  • Eldre kode blir ofte gjenbrukt når nettsteder oppdateres, noen ganger holder koden skrevet til gamle standarder i bruk lenge etter at den var foreldet
  • antall personer som forsøker å gjøre hack og antall verktøy som er tilgjengelige for å forenkle hacking, går begge opp nesten eksponentielt

Flere og flere selskaper med store risikofaktorer og store fotavtrykk kommer til å konkludere med at patching alt og ansette flere ansatte for å se på arbeid av eksisterende ansatte er ikke lenger levedyktig.

WEB Site SQL Injection Scanner Tool Solution

den nye løsningen TIL SQL injection angrep (og alle andre web-baserte angrep)er å fokusere begrenset OG verdifull IT-tid på de alvorlige risikoene som faktisk er til stede, i stedet for å bruke en hagle tilnærming og bruke alle mulige fix til hver server, hvert program og hver side med kode om det var nødvendig eller ikke. Denne nye tilnærmingen er som å ha en lege evaluere en pasient og forby den medisinen som trengs for å produsere en kur, i stedet for at pasienten går direkte til apoteket for å få alle mulige medisiner og ta dem alle på en gang.

dermed oppnås større sikkerhet ved å bruke webapplikasjonstestverktøy, for eksempel beSECURE, som ET SQL-injeksjonsskannerverktøy for å undersøke (skanne) et nettsted ved hjelp av en liste over tusenvis av kjente angrep og deretter rapportere om de relativt få (vanligvis mindre enn et dusin) alvorlige problemene.

web site skanning fungerer på grunnlag av spotting OG rapportering KJENTE risikoer. Felles hacking er veldig ‘offentlig’ aktivitet. Verktøyene er mye fremmet. Teknikker er bredt spredt i offentlige fora. Selv nye metoder blir offentlige innen timer eller dager etter første gangs bruk, takket være grupper som SecuriTeam.com og andre som ser etter og deretter bredt advare andre.

BeSECURE, det automatiserte sårbarhetsdeteksjonssystemet, er en nettbasert tjeneste som bruker en samling av alle kjente risikoer i familier og alle familier i en enkelt database som har tatt mange år å kompilere og mange timer om dagen for å opprettholde. Ved hjelp av denne databasen kan vi evaluere ethvert nettsted og produsere en rapport MED REELLE og NÅVÆRENDE risikoer vurdert i henhold til deres relative betydning-ofte innen timer og uten å forstyrre pågående aktiviteter på nettstedet.

nå kan du ta dine verdifulle IT-arbeidstimer og direkte adressere reelle risikoer som SQL-injeksjon i stedet for å bruke hundrevis av timer på å installere oppdateringer og oppdateringer, hvorav de fleste du ikke trenger eller som håndterer risikoer som er så små at de er ubetydelige.

for mer informasjon om beSECURE vennligst bruk skjemaet på denne siden eller kontakt oss.

Leave a Reply

Din e-postadresse vil ikke bli publisert.