6- laboratoriya ishi SQL ineksiya Ishdan maqsad: Ma’lumotlar ba’zalari uchun o‘rinli bo‘lgan SQL – ineksiya tahdidi bilan amalda tanishib chiqish.
SQL Ineksiya (SQLi) - zararli SQL bayonotlarini bajarishga imkon beradigan in'eksiya hujumining bir turi . Ushbu bayonotlar veb-dastur orqasida ma'lumotlar bazasi serverini boshqaradi. Hujumchilar dastur xavfsizligini chetlab o'tish uchun SQL Injection zaifliklaridan foydalanishlari mumkin. Ular veb-sahifani yoki veb-ilovani autentifikatsiya qilish va avtorizatsiyadan o'tishlari va butun SQL ma'lumotlar bazasining tarkibini olishlari mumkin. Shuningdek, ular ma'lumotlar bazasidagi yozuvlarni qo'shish, o'zgartirish va o'chirish uchun SQL Injection-dan foydalanishlari mumkin.
SQL qarshi qarshi zaifligi MySQL, Oracle, SQL Server va boshqalar kabi SQL ma'lumotlar bazasidan foydalanadigan har qanday veb-saytga yoki veb-dasturga ta'sir qilishi mumkin. Jinoyatchilar undan sizning maxfiy ma'lumotlaringizga: mijozlar to'g'risidagi ma'lumotlar, shaxsiy ma'lumotlar, savdo sirlari, intellektual mulk va boshqalarga ruxsatsiz kirish huquqini olish uchun foydalanishi mumkin. SQL Injection hujumlari veb-dasturlarning eng qadimgi, keng tarqalgan va eng xavfli zaifliklaridan biridir.
SQL Ineksiya hujumini amalga oshirish uchun tajovuzkor avval veb-sahifada yoki veb-ilovada himoyasiz foydalanuvchi ma'lumotlarini topishi kerak. SQL qarshi qarshi zaifligi bo'lgan veb-sahifa yoki veb-dastur to'g'ridan-to'g'ri SQL so'rovida foydalanuvchi tomonidan kiritilgan ma'lumotdan foydalanadi. Tajovuzkor kirish tarkibini yaratishi mumkin. Bunday tarkib ko'pincha zararli foydali yuk deb nomlanadi va hujumning asosiy qismidir. Tajovuzkor ushbu tarkibni yuborganidan so'ng, ma'lumotlar bazasida zararli SQL buyruqlari bajariladi.
SQL - relyatsion ma'lumotlar bazalarida saqlangan ma'lumotlarni boshqarish uchun yaratilgan so'rovlar tili. Siz ma'lumotlarga kirish, o'zgartirish va o'chirish uchun foydalanishingiz mumkin. Ko'pgina veb-ilovalar va veb-saytlar barcha ma'lumotlarni SQL ma'lumotlar bazalarida saqlaydi. Ba'zi hollarda operatsion tizim buyruqlarini bajarish uchun SQL buyruqlaridan ham foydalanishingiz mumkin. Shuning uchun muvaffaqiyatli SQL Injection hujumi juda jiddiy oqibatlarga olib kelishi mumkin.
Hujumchilar ma'lumotlar bazasidagi boshqa foydalanuvchilarning ma'lumotlarini topish uchun SQL Injections-dan foydalanishlari mumkin. Keyin ular ushbu foydalanuvchilarga taqlid qilishlari mumkin. O'zini taqlid qilgan foydalanuvchi barcha ma'lumotlar bazasi imtiyozlariga ega ma'lumotlar bazasi ma'muri bo'lishi mumkin.
SQL ma'lumotlar bazasidan ma'lumotlarni tanlash va chiqarishga imkon beradi. SQL qarshi qarshi zaifligi tajovuzkorga ma'lumotlar bazasi serveridagi barcha ma'lumotlarga to'liq kirish huquqini berishi mumkin.
SQL ma'lumotlar bazasidagi ma'lumotlarni o'zgartirishga va yangi ma'lumotlar qo'shishga imkon beradi. Masalan, moliyaviy dasturda tajovuzkor SQL Injection yordamida balansni o'zgartirish, operatsiyalarni bekor qilish yoki ularning hisob raqamiga pul o'tkazish uchun foydalanishi mumkin.
Ma'lumotlar bazasidan yozuvlarni o'chirish, hatto jadvallarni tushirish uchun SQL dan foydalanishingiz mumkin. Hatto ma'mur ma'lumotlar bazasining zaxira nusxalarini yaratgan bo'lsa ham, ma'lumotlar o'chirilishi ma'lumotlar bazasi tiklanmaguncha dasturlarning mavjudligiga ta'sir qilishi mumkin. Shuningdek, zaxira nusxalari eng so'nggi ma'lumotlarni qamrab olmasligi mumkin.
Ba'zi ma'lumotlar bazasi serverlarida ma'lumotlar bazasi serveridan foydalanib operatsion tizimga kirishingiz mumkin. Bu qasddan yoki tasodifiy bo'lishi mumkin. Bunday holda, tajovuzkor dastlabki vektor sifatida SQL Injection-dan foydalanishi va keyin xavfsizlik devori orqasidagi ichki tarmoqqa hujum qilishi mumkin.