FixVibe
Covered by FixVibecritical

Instealladh SQL: Rochtain Neamhúdaraithe ar Bhunachair Sonraí a Chosc

Tá instealladh SQL (SQLi) ina leochaileacht ríthábhachtach nuair a chuireann ionsaitheoirí isteach ar cheisteanna bunachar sonraí feidhmchláir. Trí chomhréir mhailíseach SQL a instealladh, is féidir le hionsaitheoirí fíordheimhniú a sheachbhóthar, féachaint ar shonraí íogaire cosúil le pasfhocail agus sonraí cártaí creidmheasa, nó fiú an bunfhreastalaí a chomhréiteach.

CWE-89

Tionchar Instealladh SQL

Ligeann instealladh SQL (SQLi) d'ionsaitheoir cur isteach ar na ceisteanna a chuireann feidhmchlár ar a bhunachar sonraí [S1]. Áirítear leis an bpríomhthionchar rochtain neamhúdaraithe ar shonraí íogaire amhail pasfhocail úsáideora, sonraí cártaí creidmheasa, agus faisnéis phearsanta [S1].

Seachas goid sonraí, is minic gur féidir le hionsaitheoirí taifid bhunachar sonraí a mhodhnú nó a scriosadh, rud a fhágann go mbíonn athruithe leanúnacha ar iompar feidhmchlár nó caillteanas sonraí [S1]. I gcásanna ard-déine, is féidir SQLi a ardú chun an bonneagar cúlchríoch a chomhréiteach, chun ionsaithe diúltú seirbhíse a chumasú, nó cúldoras leanúnach a sholáthar i gcórais na heagraíochta [S1][S2].

Bunchúis: Láimhseáil Neamhshábháilte ionchuir

Is é bunchúis instealladh SQL neodrú míchuí na n-eilimintí speisialta a úsáidtear in ordú SQL [S2]. Tarlaíonn sé seo nuair a dhéanann feidhmchlár fiosrúcháin SQL trí ionchur a bhfuil tionchar seachtrach aige a chomhghaolú go díreach isteach sa teaghrán ceisteanna [S1][S2].

Toisc nach bhfuil an t-ionchur scoite amach i gceart ó struchtúr na gceisteanna, féadfaidh ateangaire an bhunachair sonraí codanna den ionchur úsáideora a rith mar chód SQL seachas é a chóireáil mar shonraí litriúla [S2]. Is féidir an leochaileacht seo a léiriú i gcodanna éagsúla d’fhiosrúchán, lena n-áirítear ráitis SELECT, luachanna INSERT, nó ráitis UPDATE [S1].

Ceartúcháin agus Maoluithe Coincréite

Úsáid Ceisteanna Paraiméadaraithe

Is é an bealach is éifeachtaí chun instealladh SQL a chosc ná fiosrúcháin paraiméadaraithe a úsáid, ar a dtugtar ráitis ullmhaithe freisin [S1]. In ionad teaghráin a chomhlachú, ba cheart d’fhorbróirí meicníochtaí struchtúrtha a úsáid a fhorfheidhmíonn scaradh sonraí agus cód [S2].

Prionsabal na Pribhléid is Lú

Ba cheart d’fheidhmchláir nascadh leis an mbunachar sonraí ag baint úsáide as na pribhléidí is ísle a theastaíonn dá gcuid tascanna [S2]. Níor cheart go mbeadh pribhléidí riaracháin ag cuntas feidhmchlár gréasáin agus ba cheart é a shrianadh go dtí na táblaí sonracha nó na hoibríochtaí sonracha is gá dá fheidhm [S2].

Ionchuir Bailíochtú agus Ionchódú

Cé nach bhfuil sé in áit paraiméadarú, soláthraíonn bailíochtú ionchuir cosaint dhomhain [S2]. Ba cheart go n-úsáidfeadh feidhmchláir straitéis a bhfuil aithne mhaith uirthi, a bhailíochtaíonn go dtagann an t-ionchur leis na cineálacha, na faid agus na formáidí a bhfuiltear ag súil leo [S2].

Conas a thástálann FixVibe é

Clúdaíonn FixVibe instealladh SQL cheana féin tríd an modúl scanóir active.sqli gated. Ní ritheann scananna gníomhacha ach amháin tar éis fíorú agus fianú úinéireachta fearainn. Craolann an tseiceáil críochphointí GET den bhunadh céanna le paraiméadair fiosrúcháin, bunaítear freagra bonnlíne, lorgaítear aimhrialtachtaí a bhaineann go sonrach le SQL, agus ní thuairiscíonn sé ach toradh tar éis daingniú uainiúcháin thar ilfhad moille. Cuidíonn scananna stórtha freisin leis an mbunchúis a ghabháil níos luaithe trí code.web-app-risk-checklist-backfill, a thugann bratacha ar ghlaonna SQL amh a tógadh le hidirshuíomh teimpléid.