Machine Translated by Google

Download 1,74 Mb.

Pdf ko'rish

bet	6/12
Sana	19.07.2022
Hajmi	1,74 Mb.
	#824986

1 2 3 4 5 6 7 8 9 ... 12

Bog'liq
WebSecurity kitobi yaxshi

SQL inektsiyasi

SQL in'ektsiyasi
1) Izolyatsiya, ya'ni ma'lumotlar bazasini ulash va eng kam imtiyozlar bilan
so'rovlarni bajarish. Yoki, hech bo'lmaganda, ma'lumotlar bazasini administrator
imtiyozlari bilan ulamang.
3) Ma'lumotlar bazasini amalga oshirish tafsilotlarini yoki PHP kod tafsilotlarini
oshkor qilmang. Ayniqsa, xato xabarlarida bu tafsilotlar brauzerga yuboriladi.
Buzg'unchi ushbu ma'lumotlardan zaifliklarni qidirish uchun foydalanishi mumkin.
2) Kirishlar uzunligini cheklash (GET yoki POST parametrlari).
Boshqa eng yaxshi amaliyotlar:
Buning sababi shundaki, ko'plab SQL Injection hujumlari juda ko'p kodni o'z ichiga
olgan uzoq va murakkab kiritish parametrlarini kiritishni talab qiladi.
•
Boshqa qarshi choralar:
Machine Translated by Google

– Aprel 2006. Xakerlik tizimi topildi:
Code Injection
– 2005 yil iyun. CardSystems Solutions kompaniyasi xakerlar 263
000 ta kredit karta raqamlarini o‘g‘irlaganliklari, ularning 40
millionini fosh qilganliklari haqida xabar berdi.
- Taxminiy zarar 16 000 000 dollar
Code Injectionning mashhur misoli CardSystem hodisasidir.
CardSystem Solution Visa va Mastercard mijozlari uchun kredit karta
ma'lumotlari va uy banki operatsiyalarini boshqaradigan kompaniya edi.
2005 yil iyun oyida ular xakerlar 263 000 ta kredit karta raqamlarini
o'g'irlaganliklari va yana 40 million (shifrlangan matnda) fosh
qilinganliklari haqida xabar berishdi. Kompaniyaning pul yo'qotishi 16
000 000 AQSh dollari miqdorida baholanmoqda, bu pullarni qaytarish,
sud jarayonlari va jarimalar uchun.
2006 yil aprel oyida xakerlik usuli topildi: Code Injection.
SQL in'ektsiyasi
•
Mashhur misol: CardSystem hodisasi
Machine Translated by Google

Download 1,74 Mb.

Do'stlaringiz bilan baham:

1 2 3 4 5 6 7 8 9 ... 12