6- laboratoriya ishi sql ineksiya Ishdan maqsad



Download 443,09 Kb.
bet1/4
Sana16.06.2022
Hajmi443,09 Kb.
#676035
  1   2   3   4
Bog'liq
6- laboratoriya MBX Elmurod Normurodov


6- laboratoriya ishi
SQL ineksiya
Ishdan maqsad: Ma’lumotlar ba’zalari uchun o‘rinli bo‘lgan SQL – ineksiya tahdidi bilan amalda tanishib chiqish.


SQL Ineksiya (SQLi) - zararli SQL bayonotlarini bajarishga imkon beradigan in'eksiya hujumining bir turi . Ushbu bayonotlar veb-dastur orqasida ma'lumotlar bazasi serverini boshqaradi. Hujumchilar dastur xavfsizligini chetlab o'tish uchun SQL Injection zaifliklaridan foydalanishlari mumkin. Ular veb-sahifani yoki veb-ilovani autentifikatsiya qilish va avtorizatsiyadan o'tishlari va butun SQL ma'lumotlar bazasining tarkibini olishlari mumkin. Shuningdek, ular ma'lumotlar bazasidagi yozuvlarni qo'shish, o'zgartirish va o'chirish uchun SQL Injection-dan foydalanishlari mumkin.
SQL qarshi qarshi zaifligi MySQL, Oracle, SQL Server va boshqalar kabi SQL ma'lumotlar bazasidan foydalanadigan har qanday veb-saytga yoki veb-dasturga ta'sir qilishi mumkin. Jinoyatchilar undan sizning maxfiy ma'lumotlaringizga: mijozlar to'g'risidagi ma'lumotlar, shaxsiy ma'lumotlar, savdo sirlari, intellektual mulk va boshqalarga ruxsatsiz kirish huquqini olish uchun foydalanishi mumkin. SQL Injection hujumlari veb-dasturlarning eng qadimgi, keng tarqalgan va eng xavfli zaifliklaridan biridir.

SQL Ineksiya hujumini amalga oshirish uchun tajovuzkor avval veb-sahifada yoki veb-ilovada himoyasiz foydalanuvchi ma'lumotlarini topishi kerak. SQL qarshi qarshi zaifligi bo'lgan veb-sahifa yoki veb-dastur to'g'ridan-to'g'ri SQL so'rovida foydalanuvchi tomonidan kiritilgan ma'lumotdan foydalanadi. Tajovuzkor kirish tarkibini yaratishi mumkin. Bunday tarkib ko'pincha zararli foydali yuk deb nomlanadi va hujumning asosiy qismidir. Tajovuzkor ushbu tarkibni yuborganidan so'ng, ma'lumotlar bazasida zararli SQL buyruqlari bajariladi.
SQL - relyatsion ma'lumotlar bazalarida saqlangan ma'lumotlarni boshqarish uchun yaratilgan so'rovlar tili. Siz ma'lumotlarga kirish, o'zgartirish va o'chirish uchun foydalanishingiz mumkin. Ko'pgina veb-ilovalar va veb-saytlar barcha ma'lumotlarni SQL ma'lumotlar bazalarida saqlaydi. Ba'zi hollarda operatsion tizim buyruqlarini bajarish uchun SQL buyruqlaridan ham foydalanishingiz mumkin. Shuning uchun muvaffaqiyatli SQL Injection hujumi juda jiddiy oqibatlarga olib kelishi mumkin.

  • Hujumchilar ma'lumotlar bazasidagi boshqa foydalanuvchilarning ma'lumotlarini topish uchun SQL Injections-dan foydalanishlari mumkin. Keyin ular ushbu foydalanuvchilarga taqlid qilishlari mumkin. O'zini taqlid qilgan foydalanuvchi barcha ma'lumotlar bazasi imtiyozlariga ega ma'lumotlar bazasi ma'muri bo'lishi mumkin.

  • SQL ma'lumotlar bazasidan ma'lumotlarni tanlash va chiqarishga imkon beradi. SQL qarshi qarshi zaifligi tajovuzkorga ma'lumotlar bazasi serveridagi barcha ma'lumotlarga to'liq kirish huquqini berishi mumkin.

  • SQL ma'lumotlar bazasidagi ma'lumotlarni o'zgartirishga va yangi ma'lumotlar qo'shishga imkon beradi. Masalan, moliyaviy dasturda tajovuzkor SQL Injection yordamida balansni o'zgartirish, operatsiyalarni bekor qilish yoki ularning hisob raqamiga pul o'tkazish uchun foydalanishi mumkin.

  • Ma'lumotlar bazasidan yozuvlarni o'chirish, hatto jadvallarni tushirish uchun SQL dan foydalanishingiz mumkin. Hatto ma'mur ma'lumotlar bazasining zaxira nusxalarini yaratgan bo'lsa ham, ma'lumotlar o'chirilishi ma'lumotlar bazasi tiklanmaguncha dasturlarning mavjudligiga ta'sir qilishi mumkin. Shuningdek, zaxira nusxalari eng so'nggi ma'lumotlarni qamrab olmasligi mumkin.

  • Ba'zi ma'lumotlar bazasi serverlarida ma'lumotlar bazasi serveridan foydalanib operatsion tizimga kirishingiz mumkin. Bu qasddan yoki tasodifiy bo'lishi mumkin. Bunday holda, tajovuzkor dastlabki vektor sifatida SQL Injection-dan foydalanishi va keyin xavfsizlik devori orqasidagi ichki tarmoqqa hujum qilishi mumkin.


Download 443,09 Kb.

Do'stlaringiz bilan baham:
  1   2   3   4




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish