FixVibe
Covered by FixVibecritical

SQL sanjym: Rugsat berilmedik maglumat bazasyna girmegiň öňüni almak

SQL sanjym (SQLi), hüjümçiler programmanyň maglumat bazasynyň talaplaryna päsgel berýän möhüm bir gowşaklykdyr. Zyýanly SQL sintaksisine sanjym etmek bilen, hüjümçiler tassyklamadan aýlanyp bilerler, parollar we kredit kartoçkalary ýaly duýgur maglumatlary görüp bilerler ýa-da esasy serweri bozup bilerler.

CWE-89

SQL sanjymynyň täsiri

SQL sanjym (SQLi) hüjümçä bir programmanyň [S1] maglumatlar bazasyna berýän soraglaryna päsgel bermäge mümkinçilik berýär. Esasy täsir, ulanyjy parollary, kredit kartoçkasynyň maglumatlary we şahsy maglumatlar [S1] ýaly duýgur maglumatlara rugsatsyz girmegi öz içine alýar.

Maglumat ogurlamakdan başga, hüjüm edijiler köplenç maglumatlar bazasynyň ýazgylaryny üýtgedip ýa-da pozup bilerler, bu bolsa programmanyň özüni alyp barşynyň üýtgemegine ýa-da [S1] ýitirilmegine sebäp bolup biler. Severokary derejeli ýagdaýlarda, SQLi arka infrastrukturany bozmak, hyzmatdan ýüz öwürmek mümkinçiligini döretmek ýa-da guramanyň ulgamlaryna [S1][S2] bilen güýçlendirilip bilner.

Kök sebäbi: Howpsuz giriş bilen işlemek

SQL sanjymynyň düýp sebäbi, SQL buýrugy [S2] ulanylýan ýörite elementleriň nädogry zyýansyzlandyrylmagydyr. Bu, bir programma daşarky talap edilýän girişi göni [S1][S2] talap setirine birleşdirip SQL talaplaryny guranda ýüze çykýar.

Giriş talap gurluşyndan dogry izolirlenmändigi sebäpli, maglumat bazasynyň terjimeçisi ulanyjy girişiniň böleklerini SQL kody hökmünde ýerine ýetirip biler, [S2]. Bu gowşaklyk, SELECT jümleleri, INSERT bahalary, ýa-da UPDATE beýannamalary [S1] ýaly dürli bölümlerde ýüze çykyp biler.

Beton düzedişler we ýumşatmalar

Parametrlenen soraglary ulanyň

SQL sanjymynyň öňüni almagyň iň täsirli usuly, [S1] taýýarlanan jümleler diýlip hem bilinýän parametrli talaplary ulanmakdyr. Birleşdirýän setirleriň ýerine, döredijiler [S2] maglumatlaryň we koduň bölünmegini üpjün edýän gurluşly mehanizmleri ulanmalydyrlar.

Iň az ýeňillik ýörelgesi

Goýmalar, [S2] wezipeleri üçin zerur bolan iň pes ýeňillikleri ulanyp, maglumat bazasyna birikmeli. Web programma hasaby administratiw artykmaçlyklara eýe bolmaly däldir we [S2] funksiýasy üçin zerur bolan aýratyn tablisalar ýa-da amallar bilen çäklenmeli.

Giriş tassyklamasy we kodlamak

Parametrizasiýa üçin çalyşma bolmasa-da, giriş tassyklamasy gorag çuňňur [S2] üpjün edýär. Goýmalar, garaşylýan görnüşlere, uzynlyklara we [S2] formatlaryna laýyk gelýändigini tassyklaýan, belli-belli strategiýany ulanmalydyr.

FixVibe munuň üçin nädip synag edýär

FixVibe eýýäm derwezeli active.sqli skaner moduly arkaly SQL sanjymyny öz içine alýar. Işjeň skanerler diňe domen eýeçiligini barlamak we tassyklamakdan soň işleýär. Barlag, gözleg parametrleri bilen birmeňzeş GET ahyrky nokatlaryny gözleýär, esasy jogaby kesgitleýär, SQL-a mahsus anomaliýalary gözleýär we diňe birnäçe gijikdirme uzynlygy boýunça wagt tassyklanylandan soň tapylandygyny habar berýär. Ammar skanerleri, düýp sebäbini şablon interpolýasiýasy bilen gurlan çig SQL çagyryşlaryny belleýän code.web-app-risk-checklist-backfill arkaly has ir tapmaga kömek edýär.