6- laboratoriya ishi sql ineksiya Ishdan maqsad


Birlashmaga asoslangan SQL-in'ektsiyasi misoli



Download 443,09 Kb.
bet2/4
Sana16.06.2022
Hajmi443,09 Kb.
#676035
1   2   3   4
Bog'liq
6- laboratoriya MBX Elmurod Normurodov

Birlashmaga asoslangan SQL-in'ektsiyasi misoli :
SQL qarshi tizimining eng keng tarqalgan turlaridan biri UNION operatoridan foydalanadi. Bu tajovuzkorga ikki yoki undan ortiq SELECT bayonotlarining natijalarini bitta natijaga birlashtirishga imkon beradi. Texnika birlashmaga asoslangan SQL in'ektsiyasi deb nomlanadi .
Quyida ushbu texnikaning namunasi keltirilgan. Acunetix tomonidan joylashtirilgan qasddan zaif veb-sayt testphp.vulnweb.com veb-sahifasidan foydalanadi .
Quyidagi HTTP so'rovi qonuniy foydalanuvchi yuboradigan oddiy so'rovdir:
GET http://testphp.vulnweb.com/artists.php?artist=1 HTTP/1.1
Host: testphp.vulnweb.com

artistParametr SQL Injection zaif bo'ladi. Quyidagi foydali yuk mavjud bo'lmagan yozuvni qidirish uchun so'rovni o'zgartiradi. URL so'rovlar satridagi qiymatni quyidagiga o'rnatadi -1. Albatta, bu ma'lumotlar bazasida mavjud bo'lmagan boshqa har qanday qiymat bo'lishi mumkin. Biroq, manfiy qiymat yaxshi taxmindir, chunki ma'lumotlar bazasidagi identifikator kamdan-kam salbiy son hisoblanadi.
SQL Injection-da UNIONoperator odatda zararli SQL so'rovini veb-dastur tomonidan boshqarilishi kerak bo'lgan asl so'rovga qo'shish uchun ishlatiladi. AOK qilingan so'rov natijasi asl so'rov natijasi bilan qo'shiladi. Bu tajovuzkorga boshqa jadvallardan ustun qiymatlarini olish imkoniyatini beradi.
GET http://testphp.vulnweb.com/artists.php?artist=-1 UNION SELECT 1, 2, 3 HTTP/1.1
Host: testphp.vulnweb.com

Quyidagi misol, ushbu qasddan himoyalanmagan saytdan yanada mazmunli ma'lumotlarni olish uchun SQL Ineksiya(Injection) foydali yukidan qanday foydalanish mumkinligini ko'rsatadi.
GET http://testphp.vulnweb.com/artists.php?artist=-1 UNION SELECT 1,pass,cc FROM users WHERE uname='test' HTTP/1.1
Host: testphp.vulnweb.com

Bu SQL Injection hujumlarini oldini olishning yagona ishonchli usuli bu kirish tekshiruvi va parametrlangan so'rovlar, shu jumladan tayyorlangan bayonotlar. Dastur kodi hech qachon kiritishni to'g'ridan-to'g'ri ishlatmasligi kerak. Ishlab chiquvchi nafaqat kirish formalari kabi veb-formadagi kirishlarni, balki barcha ma'lumotlarni sanitarizatsiya qilishi kerak. Ular bitta tirnoq kabi potentsial zararli kod elementlarini olib tashlashlari kerak. Shuningdek, ishlab chiqarish saytlaringizda ma'lumotlar bazasi xatolarining ko'rinishini o'chirib qo'yish yaxshi fikr. Ma'lumotlar bazasidagi xatolar SQL Injection yordamida ma'lumotlar bazangiz haqida ma'lumot olish uchun ishlatilishi mumkin.


Xulosa
Xulosa qilib shuni aytish mumkinki, Bu SQL Injection hujumlarini oldini olishning yagona ishonchli usuli bu kirish tekshiruvi va parametrlangan so'rovlar, shu jumladan tayyorlangan bayonotlar. Dastur kodi hech qachon kiritishni to'g'ridan-to'g'ri ishlatmasligi kerak

Download 443,09 Kb.

Do'stlaringiz bilan baham:
1   2   3   4




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish