የ SQL መርፌ ተጽእኖ
SQL መርፌ (SQLi) አንድ አጥቂ አፕሊኬሽኑ ወደ ዳታቤዙ [S1] በሚያቀርባቸው ጥያቄዎች ላይ ጣልቃ እንዲገባ ያስችለዋል። ዋናው ተፅዕኖ እንደ የተጠቃሚ ይለፍ ቃል፣ የክሬዲት ካርድ ዝርዝሮች እና የግል መረጃ [S1] ያሉ ሚስጥራዊነት ያላቸውን መረጃዎች ያልተፈቀደ መዳረሻን ያካትታል።
ከውሂብ ስርቆት ባሻገር አጥቂዎች ብዙ ጊዜ የውሂብ ጎታ መዝገቦችን ማሻሻል ወይም መሰረዝ ይችላሉ፣ ይህም በመተግበሪያ ባህሪ ላይ የማያቋርጥ ለውጥ ወይም የውሂብ መጥፋት [S1] ያስከትላል። ከፍተኛ ክብደት ባላቸው ጉዳዮች SQLi የኋላ-መጨረሻ መሠረተ ልማትን ለመጣስ ፣የአገልግሎት ክህደትን ለማንቃት ፣ወይም ለድርጅቱ ስርዓቶች ቀጣይነት ያለው የጀርባ በር ለማቅረብ [S1][S2] ሊጨምር ይችላል።
የስር ምክንያት፡ ደህንነቱ ያልተጠበቀ የግቤት አያያዝ
የ SQL መርፌ መንስኤ በSQL ትዕዛዝ [S2] ውስጥ ጥቅም ላይ የሚውሉ ልዩ ንጥረ ነገሮችን አላግባብ መገለል ነው። ይህ የሚሆነው አፕሊኬሽኑ የSQL መጠይቆችን ሲገነባ በውጫዊ ተጽእኖ ያለውን ግብአት በቀጥታ ወደ መጠይቁ ሕብረቁምፊ [S1][S2] በማያያዝ ነው።
ግብአቱ በትክክል ከመጠይቁ መዋቅር የተገለለ ስላልሆነ የመረጃ ቋቱ ተርጓሚ የተጠቃሚውን ግብአት እንደ SQL ኮድ እንደ ቀጥተኛ መረጃ ከመመልከት ይልቅ ሊፈጽመው ይችላል። ይህ ተጋላጭነት የSELECT መግለጫዎች፣ INSERT እሴቶች ወይም የUPDATE መግለጫዎች SELECTን ጨምሮ በተለያዩ የጥያቄ ክፍሎች ሊገለጽ ይችላል።
ኮንክሪት ጥገናዎች እና ቅነሳዎች
የተመጣጠነ መጠይቆችን ተጠቀም
የ SQL መርፌን ለመከላከል በጣም ውጤታማው መንገድ የተመጣጠነ መጠይቆችን መጠቀም ነው ፣ እንዲሁም የተዘጋጁ መግለጫዎች [S1] በመባል ይታወቃሉ። ሕብረቁምፊዎችን ከማጣመር ይልቅ ገንቢዎች የውሂብ መለያየትን እና ኮድ [S2]ን የሚያስፈጽም የተዋቀሩ ስልቶችን መጠቀም አለባቸው።
ትንሹ መብት መርህ
አፕሊኬሽኖች ለሥራቸው [S2] የሚፈለጉትን ዝቅተኛ መብቶችን በመጠቀም ከመረጃ ቋቱ ጋር መገናኘት አለባቸው። የድር አፕሊኬሽን አካውንት አስተዳደራዊ መብቶች ሊኖረው አይገባም እና ለተግባሩ [S2] አስፈላጊ በሆኑት ጠረጴዛዎች ወይም ኦፕሬሽኖች ብቻ መገደብ አለበት።
የግቤት ማረጋገጫ እና ኢንኮዲንግ
ለፓራሜትሪላይዜሽን ምትክ ባይሆንም፣ የግቤት ማረጋገጫው የመከላከያ-ጥልቅ [S2] ያቀርባል። አፕሊኬሽኖች ግብአት ከተጠበቁ አይነቶች፣ ርዝመቶች እና ቅርጸቶች [S2] ጋር እንደሚዛመድ በማረጋገጥ ተቀባይነት ያለው የታወቀ ጥሩ ስልት መጠቀም አለባቸው።
FixVibe እንዴት እንደሚፈትሽ
FixVibe አስቀድሞ የSQL መርፌን በተሸፈነው active.sqli ስካነር ሞዱል ይሸፍናል። ንቁ ቅኝቶች የጎራ ባለቤትነት ማረጋገጫ እና ማረጋገጫ በኋላ ብቻ ነው የሚሰሩት። ቼኩ ተመሳሳይ መነሻ የGET የመጨረሻ ነጥቦችን ከጥያቄ መለኪያዎች ጋር ይጎበኛል፣ የመነሻ መስመር ምላሽን ያስቀምጣል፣ SQL-ተኮር የቦሊያን ያልተለመዱ ነገሮችን ይፈልጋል፣ እና ግኝቱን የሚዘገበው ከብዙ የመዘግየት ርዝማኔዎች የጊዜ ማረጋገጫ በኋላ ብቻ ነው። የማጠራቀሚያ ቅኝት እንዲሁ ቀደም ሲል በcode.web-app-risk-checklist-backfill በኩል የስር መንስኤውን ለመያዝ ይረዳል፣ ይህም በአብነት መስተጋብር የተገነቡ ጥሬ የSQL ጥሪዎችን ያሳያል።