FixVibe
Covered by FixVibecritical

SQL Injection: İcazəsiz verilənlər bazasına girişin qarşısının alınması

SQL injection (SQLi) təcavüzkarların proqramın verilənlər bazası sorğularına müdaxilə etdiyi kritik zəiflikdir. Zərərli SQL sintaksisini yeritməklə, təcavüzkarlar autentifikasiyadan keçə, parollar və kredit kartı təfərrüatları kimi həssas məlumatlara baxa və ya hətta əsas serverə güzəştə gedə bilər.

CWE-89

SQL inyeksiyasının təsiri

SQL inyeksiyası (SQLi) təcavüzkara tətbiqin [S1] verilənlər bazasına etdiyi sorğulara müdaxilə etməyə imkan verir. Əsas təsirə istifadəçi parolları, kredit kartı detalları və [S1] kimi həssas məlumatlara icazəsiz giriş daxildir.

Məlumat oğurluğundan başqa, təcavüzkarlar tez-tez verilənlər bazası qeydlərini dəyişdirə və ya silə bilər ki, bu da proqram davranışında davamlı dəyişikliklərə və ya [S1] məlumat itkisinə səbəb olur. Yüksək dərəcədə ciddi hallarda SQLi arxa-end infrastrukturunu pozmaq, xidmətdən imtina hücumlarını aktivləşdirmək və ya təşkilatın sistemlərinə davamlı arxa qapı təmin etmək üçün artırıla bilər.

Kök Səbəb: Təhlükəsiz Daxiletmə İdarəsi

SQL inyeksiyasının əsas səbəbi [S2] SQL əmrində istifadə olunan xüsusi elementlərin düzgün olmayan neytrallaşdırılmasıdır. Bu, proqram kənardan təsirlənmiş daxiletməni birbaşa [S1][S2] sorğu sətirinə birləşdirərək SQL sorğularını quranda baş verir.

Daxiletmə sorğu strukturundan lazımi şəkildə təcrid olunmadığı üçün verilənlər bazası tərcüməçisi istifadəçi daxiletməsinin hissələrini [S2] hərfi məlumat kimi nəzərdən keçirməkdənsə, onu SQL kodu kimi yerinə yetirə bilər. Bu zəiflik sorğunun müxtəlif hissələrində, o cümlədən SELECT ifadələrində, INSERT dəyərlərində və ya UPDATE [S1] ifadələrində özünü göstərə bilər.

Konkret Düzəlişlər və Təsirlərin Azaldılması

Parametrləşdirilmiş sorğulardan istifadə edin

SQL inyeksiyasının qarşısını almağın ən təsirli yolu [S1] hazırlanmış ifadələr kimi tanınan parametrləşdirilmiş sorğuların istifadəsidir. Sətirləri birləşdirmək əvəzinə, tərtibatçılar məlumatların və [S2] kodunun ayrılmasını təmin edən strukturlaşdırılmış mexanizmlərdən istifadə etməlidirlər.

Ən Az İmtiyaz Prinsipi

Proqramlar [S2] tapşırıqları üçün tələb olunan ən aşağı imtiyazlardan istifadə edərək verilənlər bazasına qoşulmalıdır. Veb tətbiqi hesabının inzibati imtiyazları olmamalıdır və [S2] funksiyası üçün zəruri olan xüsusi cədvəllər və ya əməliyyatlarla məhdudlaşdırılmalıdır.

Giriş Təsdiqləmə və Kodlaşdırma

Parametrləşdirmə üçün əvəz olmasa da, daxiletmənin doğrulanması [S2]-nin dərin müdafiəsini təmin edir. Tətbiqlər daxiletmənin [S2] gözlənilən növlərə, uzunluqlara və formatlara uyğun olduğunu təsdiqləyən qəbul edilmiş yaxşı strategiyadan istifadə etməlidir.

FixVibe bunu necə sınaqdan keçirir

FixVibe artıq qapılı active.sqli skaner modulu vasitəsilə SQL inyeksiyasını əhatə edir. Aktiv skanlar yalnız domen sahibliyinin yoxlanılması və attestasiyasından sonra həyata keçirilir. Yoxlama sorğu parametrləri ilə eyni mənşəli GET son nöqtələrini tarayır, baza cavabı təyin edir, SQL-ə xas boolean anomaliyalarını axtarır və yalnız çoxsaylı gecikmə uzunluqları üzrə vaxtın təsdiqindən sonra tapıntı barədə məlumat verir. Repozitoriya skanları həm də şablon interpolasiyası ilə qurulmuş xam SQL zənglərini qeyd edən code.web-app-risk-checklist-backfill vasitəsilə kök səbəbi daha əvvəl tutmağa kömək edir.