FixVibe
Covered by FixVibecritical

סקל ינדזשעקשאַן: פּרעווענטינג אַנאָטערייזד דאַטאַבאַסע אַקסעס

SQL ינדזשעקשאַן (SQLi) איז אַ קריטיש וואַלנעראַביליטי ווו אַטאַקערז אַרייַנמישנ זיך מיט די דאַטאַבייס קוויריז פון אַ אַפּלאַקיישאַן. דורך ינדזשעקטינג בייזע סקל סינטאַקס, אַטאַקערז קענען בייפּאַס אָטענטאַקיישאַן, זען שפּירעוודיק דאַטן ווי פּאַסווערדז און קרעדיט קאַרטל דעטאַילס, אָדער אפילו קאָמפּראָמיס די אַנדערלייינג סערווער.

CWE-89

פּראַל פון SQL ינדזשעקשאַן

SQL ינדזשעקשאַן (SQLi) אַלאַוז אַן אַטאַקער צו אַרייַנמישנ זיך מיט די פֿראגן וואָס אַ אַפּלאַקיישאַן מאכט צו זיין דאַטאַבייס [S1]. די ערשטיק פּראַל כולל אַנאָטערייזד אַקסעס צו שפּירעוודיק דאַטן אַזאַ ווי באַניצער פּאַסווערדז, קרעדיט קאַרטל דעטאַילס און פערזענלעכע אינפֿאָרמאַציע [S1].

ווייַטער פון דאַטן גנייווע, אַטאַקערז קענען אָפט מאָדיפיצירן אָדער ויסמעקן דאַטאַבייס רעקאָרדס, וואָס פירן צו פּערסיסטענט ענדערונגען אין אַפּלאַקיישאַן נאַטור אָדער דאַטן אָנווער [S1]. אין קאַסעס פון הויך שטרענגקייַט, SQLi קענען זיין עסקאַלייטיד צו קאָמפּראָמיס די צוריק-סוף ינפראַסטראַקטשער, געבן אָפּלייקענונג-פון-דינסט אנפאלן, אָדער צושטעלן אַ פּערסיסטענט באַקדאָר אין די אָרגאַניזאַציע ס סיסטעמען [S1][S2].

וואָרצל גרונט: אַנסייף ינפּוט האַנדלינג

דער וואָרצל גרונט פון סקל ינדזשעקשאַן איז די ימפּראַפּער נוטראַלאַזיישאַן פון ספּעציעל עלעמענטן געניצט אין אַ SQL באַפֿעל [S2]. דאָס אַקערז ווען אַ אַפּלאַקיישאַן קאַנסטראַקץ סקל קוויריז דורך קאַנקאַטאַנייטינג ויסווייניק-ינפלואַנסט אַרייַנשרייַב גלייַך אין די אָנפֿרעג שטריקל [S1][S2].

ווייַל די אַרייַנשרייַב איז נישט רעכט אפגעזונדערט פון די אָנפֿרעג סטרוקטור, די דאַטאַבייס יבערזעצער קען ויספירן פּאַרץ פון די באַניצער אַרייַנשרייַב ווי סקל קאָד אלא ווי טרעאַטינג עס ווי ליטעראַל דאַטן [S2]. די וואַלנעראַביליטי קענען באַשייַמפּערלעך אין פאַרשידן פּאַרץ פון אַ אָנפֿרעג, אַרייַנגערעכנט SELECT סטייטמאַנץ, INSERT וואַלועס אָדער UPDATE סטייטמאַנץ [S1].

באַטאָנען פיקסיז און מיטיגיישאַנז

ניצן פּאַראַמעטערייזד קוויריז

די מערסט עפעקטיוו וועג צו פאַרמייַדן סקל ינדזשעקשאַן איז די נוצן פון פּאַראַמעטערייזד קוויריז, אויך באקאנט ווי צוגעגרייט סטייטמאַנץ [S1]. אַנשטאָט קאַנקאַטאַנייטינג סטרינגס, דעוועלאָפּערס זאָל נוצן סטראַקטשערד מעקאַניזאַמז וואָס דורכפירן די צעשיידונג פון דאַטן און קאָד [S2].

# # # פּרינציפּ פון קלענסטער פּריווילאַדזש אַפּפּליקאַטיאָנס זאָל פאַרבינדן צו די דאַטאַבייס מיט די לאָואַסט פּריווילאַדזשאַז פארלאנגט פֿאַר זייער טאַסקס [S2]. א וועב אַפּלאַקיישאַן חשבון זאָל נישט האָבן אַדמיניסטראַטיווע פּריווילאַדזשאַז און זאָל זיין לימיטעד צו די ספּעציפיש טישן אָדער אַפּעריישאַנז וואָס זענען נייטיק פֿאַר זייַן פונקציע [S2].

אַרייַנשרייַב וואַלאַדיישאַן און קאָדירונג

כאָטש ניט אַ פאַרבייַט פֿאַר פּאַראַמעטעריזאַטיאָן, אַרייַנשרייַב וואַלאַדיישאַן גיט פאַרטיידיקונג-אין-טיפקייַט [S2]. אַפּפּליקאַטיאָנס זאָל נוצן אַן אַקסעפּטינג-באקאנט-גוטע סטראַטעגיע, וואַלאַדייטינג אַז אַרייַנשרייַב שוועבעלעך די דערוואַרט טייפּס, לענגז און פֿאָרמאַטירונגען [S2].

ווי FixVibe טעסץ פֿאַר עס

FixVibe קאָווערס שוין סקל ינדזשעקשאַן דורך די גייטיד active.sqli סקאַננער מאָדולע. אַקטיוו סקאַנז לויפן בלויז נאָך וועראַפאַקיישאַן און אַטטעסטיישאַן פון פעלד אָונערשיפּ. דער טשעק קראָלז GET ענדפּאָינץ פון דער זעלביקער אָנהייב מיט אָנפֿרעג פּאַראַמעטערס, יסטאַבלישיז אַ באַסעלינע ענטפער, זוכט פֿאַר SQL-ספּעציפיש בוליאַן אַנאַמאַליז, און בלויז ריפּאָרץ אַ דערגייונג נאָך טיימינג באַשטעטיקונג איבער קייפל פאַרהאַלטן לענגקטס. ריפּאַזאַטאָרי סקאַנז אויך העלפֿן כאַפּן די וואָרצל גרונט פריער דורך code.web-app-risk-checklist-backfill, וואָס פלאַגס רוי סקל קאַללס געבויט מיט מוסטער ינטערפּאָלאַטיאָן.