FixVibe
Covered by FixVibecritical

Injection SQL: Пешгирии дастрасии беиҷозат ба пойгоҳи додаҳо

Тазриқи SQL (SQLi) осебпазирии муҳимест, ки дар он ҳамлагарон ба дархостҳои пойгоҳи додаҳои барнома дахолат мекунанд. Бо ворид кардани синтаксиси шубҳаноки SQL, ҳамлагарон метавонанд аутентификатсияро гузаранд, маълумоти ҳассос ба монанди паролҳо ва тафсилоти корти кредитиро бубинанд ё ҳатто сервери асосиро вайрон кунанд.

CWE-89

Таъсири тазриқи SQL

Тазриқи SQL (SQLi) ба ҳамлагар имкон медиҳад, ки ба дархостҳое, ки барнома ба пойгоҳи додаи худ [S1] медиҳад, дахолат кунад. Таъсири асосӣ дастрасии беиҷозат ба маълумоти ҳассос, аз қабили паролҳои корбар, тафсилоти корти кредитӣ ва маълумоти шахсӣ [S1] мебошад.

Ғайр аз дуздии маълумот, ҳамлагарон метавонанд аксар вақт сабтҳои пойгоҳи додаҳоро тағир ё нест кунанд, ки ба тағироти доимӣ дар рафтори барнома ё талафи маълумот оварда мерасонад [S1]. Дар ҳолатҳои вазнин, SQLi метавонад барои вайрон кардани инфрасохтори пуштибонӣ, имкон додани ҳамлаҳои радкунии хидмат ё таъмин кардани пушти дари доимӣ ба системаҳои созмон [S1]ZXCVFIXENVIBETOK афзоиш ёбад.

Сабаби аслӣ: Идоракунии вуруди хатарнок

Сабаби аслии тазриқи SQL ин безараргардонии нодурусти унсурҳои махсусест, ки дар фармони SQL [S2] истифода мешаванд. Ин вақте рух медиҳад, ки барнома дархостҳои SQL-ро тавассути пайваст кардани вуруди аз берун таъсиргузоранда мустақиман ба сатри дархости [S1][S2] месозад.

Азбаски вуруд аз сохтори дархост дуруст ҷудо карда нашудааст, тарҷумони махзани маълумот метавонад қисмҳои вуруди корбарро ҳамчун рамзи SQL иҷро кунад, ба ҷои он ки онро ҳамчун маълумоти аслӣ [S2] баррасӣ кунад. Ин осебпазирӣ метавонад дар қисматҳои гуногуни дархост, аз ҷумла изҳороти SELECT, арзишҳои INSERT ё изҳороти UPDATE [S1] зоҳир шавад.

Ислоҳҳо ва чораҳои мушаххас

Дархостҳои параметриро истифода баред

Усули самараноктарини пешгирии тазриқи SQL ин истифодаи дархостҳои параметрӣ мебошад, ки ҳамчун изҳороти омодашуда [S1] низ маълум аст. Ба ҷои пайваст кардани сатрҳо, таҳиягарон бояд механизмҳои сохториро истифода баранд, ки ҷудокунии маълумот ва рамзи [S2]-ро таъмин мекунанд.

Принсипи имтиёзи камтарин

Барномаҳо бояд бо истифода аз имтиёзҳои пасттарин барои вазифаҳои худ [S2] ба пойгоҳи додаҳо пайваст шаванд. Ҳисоби замимаи веб набояд имтиёзҳои маъмурӣ дошта бошад ва бояд бо ҷадвалҳо ё амалҳои мушаххасе, ки барои функсияи он заруранд [S2] маҳдуд карда шавад.

Тасдиқи вуруд ва рамзгузорӣ

Ҳарчанд ивазкунандаи параметрсозӣ нест, тасдиқи вуруд [S2] мудофиаи амиқро таъмин мекунад. Барномаҳо бояд стратегияи маъруфи қабулшударо истифода баранд ва тасдиқ кунанд, ки вуруд ба намудҳо, дарозӣ ва форматҳои пешбинишуда мувофиқат мекунад [S2].

Чӣ тавр FixVibe онро озмоиш мекунад

FixVibe аллакай тазриқи SQL-ро тавассути модули сканери дарвозаи active.sqli фаро мегирад. Сканҳои фаъол танҳо пас аз тасдиқи соҳиби домен ва аттестатсия иҷро мешаванд. Санҷиш нуқтаҳои ниҳоии GET-и якхеларо бо параметрҳои дархост тафтиш мекунад, вокуниши асосиро муқаррар мекунад, аномалияҳои мантиқии SQL-ро меҷӯяд ва танҳо дар бораи бозёфт пас аз тасдиқи вақт дар тӯли якчанд таъхир гузориш медиҳад. Сканҳои репозиторий инчунин барои муайян кардани сабабҳои аслӣ тавассути code.web-app-risk-checklist-backfill кӯмак мекунанд, ки зангҳои хоми SQL-ро, ки бо интерполятсияи шаблон сохта шудаанд, нишон медиҳад.