Ule N'ihi SQL ogwu ogbugba

Mkpesa nje ogwu SQL na-enye nnukwu ihe ize ndụ na ngwa weebụ nke na-adabere na ndabere nchekwa data iji nyepụta ọdịnaya dị omimi. N'ịdị ọgụ a, ndị na-agba ọsọ na-eji ngwa weebụ eme ihe iji gbanye iwu SQL ha n'ime ihe ndị nchekwa data ahụ nyere. Maka ihe atụ, lee isiokwu SQL Mwakpo Njegide na ọdụ data. N'isiokwu a, anyị na-eleba anya n'ọtụtụ ụzọ ị nwere ike ịnwale ngwa weebụ gị iji chọpụta ma ha enweghị ike ịlụso nje ọgụ SQL.

SQL Scanning Injection Automation

Enwere ike ịme ihe ntanetị ngwa ngwa ngwa ngwa weebụ, dika HP's WebInspect, IBM's AppScan ma ọ bụ Cenzic's Hailstorm. Ngwaọrụ ndị a niile na-enye ụzọ dị mfe, ụzọ mgbochi iji nyochaa ngwa weebụ gị maka ọdịdị nje ogwu SQL. Otú ọ dị, ha dị oke ọnụ, na-agba ọsọ ruo $ 25,000 kwa oche.

Ntugharị ogwu ogbugba akwukwo SQL

Kedu onye mmepụta ihe na-adịghị mma ime? Ị nwere ike ịgba ọsọ ụfọdụ iji nyochaa ngwa weebụ gị maka SQL Ịgba ogwu na-eji ihe ọ bụla karịa ihe nchọgharị weebụ. Akpa, okwu nke ịkpachara anya: ule ndị m na-akọwa naanị na-achọ maka ezughị okè Injection. Ha agaghị achọpụta usoro dị elu ma dịtụ nhịahụ iji mee ihe. Ọ bụrụ na ị nwere ike imeli ya, gaa na nyocha akpịrịrụ. Otú ọ dị, ọ bụrụ na ịnweghị ike ịlele mkpado ọnụahịa ahụ, nyocha akwụkwọ bụ nzọụkwụ mbụ.

Ụzọ kachasị mfe iji nyochaa ma ngwa ọ na-adịghị mfe bụ ịnwale na mgbochi mgbochi mgbochi nke na-agaghị emerụ ihe nchekwa data gị ma ọ bụrụ na ha ga-eme nke ọma kama ọ ga-enye gị ihe àmà na ọ dị gị mkpa idozi nsogbu. Dịka ọmụmaatụ, ọ bụrụ na ị nwere ngwa weebụ dị mfe nke na-elekwasị anya n'otu onye na nchekwa data ma nye ozi kọntaktị dịka nsonaazụ. Ozo ahu nwere ike iji usoro URL a:

http://myfakewebsite.com/directory.asp?lastname=chapple&firstname=mike

Anyị nwere ike iche na nke a na-eme nchọpụta nchekwa data, na- eji ajụjụ dịka ihe ndị a:

Zọpụta ekwentị site na ndekọ NTỤTỤ ebe ikpeazụ = 'chapple' na firstname = 'mike'

Ka anyi nyochaa nke a. Site n'echiche anyị n'elu, anyị nwere ike ime mgbanwe dị mfe na URL ahụ maka ule maka ọgụ mgbochi SQL:

http://myfakewebsite.com/directory.asp?lastname=chapple&firstname=mike'+AND+(select+count(*)+from+fake)+%3e0+OR+'1'%3d'1

Ọ bụrụ na ngwa weebụ adịghị echebe ya ka ọ ghara ịṅụ ọgwụ nje SQL, ọ na-esite na ntinye aha mbụ a dị na nkwupụta SQL ahụ ọ na-eme megide nchekwa data ahụ, na-akpata:

Họrọ ekwentị site na ndekọ WHERE lastname = 'chapple' na firstname = 'mike' NA (họrọ ọnụ (*) si adịgboroja)> 0 MA '1' = '1'

Ị ga-achọpụta na okwu ahụ dị n'elu dị obere karịa nke ahụ na URL mbụ. Enwere m nnwere onwe nke ịgbanye mgbanwe nke URL ahụ maka ụdị ASCII ha iji mee ka ọ dịkwuo mfe ịgbaso ihe nlereanya ahụ. Dịka ọmụmaatụ,% 3d bụ URL-encoding maka '=' agwa. M gbakwụnyekwara mgbatị ụfọdụ maka nhazi ndị ahụ.

Nyochaa Nsonaazụ

Ule a na-abịa mgbe ị na-agbalị ịwaa ibe weebụ ahụ na URL depụtara n'elu. Ọ bụrụ na ngwa weebụ ahụ na-akpa àgwà ọma, ọ ga-ewepụ otu ntinye si ntinye tupu ị gafere ajụjụ na nchekwa data. Nke a ga - eme ka ịchọta onye na - ede aha na - agụnye ụyọkọ SQL! Ị ga-ahụ ozi nhie site na ngwa ahụ yiri nke dị n'okpuru:

Njehie: Ọ dịghị onye ọrụ nwere aha mike + NA + (họrọ + count (*) + from + fake) +% 3e0 + OR + 1% 3d1 Chapple!

N'aka nke ọzọ, ọ bụrụ na ngwa ahụ adịghị mfe iji nyocha SQL, ọ ga-etinye nkwupụta ahụ kpọmkwem na nchekwa data ahụ, nke ga-eweta otu n'ime ụzọ abụọ. Mbụ, ọ bụrụ na nkesa gị nwere ozi ezighị ezi zuru ezu (nke ị na-ekwesịghị!), Ị ga-ahụ ihe dị ka nke a:

Microsoft OLE DB Na-enye ODBC njehie '80040e37' [Microsoft] [ODBC SQL Server Driver] [SQL Server] Aha aha na-adịghị mma 'adịgboroja'. /directory.asp, akara 13

N'aka nke ọzọ, ọ bụrụ na sava weebụ gị adịghị egosipụta ozi ezughị ezu zuru ezu, ị ga-enweta ihe nkwụsịtụ ndị ọzọ, dịka:

Error Server Error Na ihe nkesa ahụ nwere njehie ma ọ bụ misconfiguration na enweghị ike ịmechaa arịrịọ gị. Biko kpọtụrụ onye nchịkwa ihe nkesa ka ị mara oge njehie ahụ mere na nke ihe ọ bụla i nwere ike ime nke nwere ike kpatara njehie ahụ. Ozi ndị ọzọ gbasara njehie a nwere ike ịdị na nbanye njehie.

Ọ bụrụ na ịnata ma ọ bụ otu n'ime njehie abụọ ahụ dị n'elu, ngwa gị adịghị mfe ịlụso nje ọgụ SQL! Ihe ụfọdụ ị ga - eme iji chebe ngwa gị megide ọgụ ọgụ SQL gụnyere:

• Mee nlele nhazi na ngwa niile. Dịka ọmụmaatụ, ọ bụrụ na ị na-agwa onye ịbanye nọmba onye ahịa, jide n'aka na ndenye ahụ bụ ọnụ ọgụgụ tupu i mejupụta ajụjụ ahụ .
• Debe ikikere nke akaụntụ ahụ na-eme SQL ajụjụ . Nchịkwa nke kachasị ihe ùgwù na-emetụta. Ọ bụrụ na akaụntụ ahụ ejiri mee nchọpụta ahụ enweghị ikikere imezu ya, ọ gaghị aga nke ọma!
• Jiri usoro echekwara (ma ọ bụ usoro ndị yiri ya) iji gbochie ndị ọrụ iji na-emekọrịta ihe na koodu SQL.