Ўзбекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги муҳаммад ал-хоразмий номидаги


WEB ILOVALARGA UYUSHTIRILADIGAN SQL INJECTION



Download 7,67 Mb.
Pdf ko'rish
bet149/260
Sana25.02.2022
Hajmi7,67 Mb.
#291106
1   ...   145   146   147   148   149   150   151   152   ...   260
Bog'liq
2-qism-toplam-4-5-mart

WEB ILOVALARGA UYUSHTIRILADIGAN SQL INJECTION 
HUJUMLARI VA ULARDAN HIMOYALANISH USULLARI VA 
VOSITALARI TAHLILI 
U.X.Qutfiddinov (Muhammad al-Xorazmiy nomidagi TATU) 
D.Sh. Usmanbayev (Muhammad al-Xorazmiy nomidagi TATU) 
SQL injection bu web-ilovalarga matn kiritiladigan maydonlarga zararli SQL 
kodlarini kiritish va yakunda bu kodlar web-ilovaning bekend (backend ing.
qismida ishga tushirilishi orqali uyushtiriladigan hujumdir. SQL buyruqlari bilan 
ishlovchi deyarli barcha ilovalar buzg`unchi uchun “o`lja” hisoblanadi. SQL 
injection hujumining ishlash mohiyati shundaki, ma’lumotlar bazasiga yuborilgan 
matn tarkibida zararli SQL kod qo`shib qo`yiladi. Ushbu matn ilovaning bekend 
qismida bajarilib, buzg`unchiga kerakli axborotni olishiga imkon berishi mumkin. 
Web-ilovalarni SQL injection hujumiga bardoshliligini testlash vositalari
Quyidagi dasturlar web-ilovalarni SQL injection hujumuga bardoshliligini 
tekshirish imkonini beradi va ularni ishga tushirish hech qanday texnik bilim talab 
qilmaydi: 
1. HP WebInspect – Hewlett-Packard kompaniyasi tomonidan ishlab chiqilgan 
va Basic, NTLM, Digest va Kerberos autentifikatsiyalash mexanizmlaridan 
foydalanadi 
2. IBM Rational AppScan – IBM tomonidan ishlab chiqilgan testlash dasturidir 
va u WebInspect kabi ishlaydi. Yagonafarqi esa bu dastur faqat testlash bilan 
kifoyalanishidadir. 
3. HP Scrawir – HP tomonidan web-ilova tarkibidagi har bir havola ko`rsatgan 
manzilga tashrif buyurish prinsipiga asoslangan testlovchi dasturdir. 
4. SQLiX – bu Perlda Cedric Cochin tomonidan ishlab chiqilgan bepul ilova 
bo`lib, web-ilovalarni testlash, krovllash va skanerlash vositasidir. 
5. Paros Proxy/Zed Attack Proxy – bu web-trafikni boshqarish vositasidir. U 
huddi proxy kabi ishlaydi va web-brauzerdan web-serverga yuborilgan ma’lumotni 
ushlab qolishi mumkin. Bu dastur ham bepul hisoblanadi. 
SQL injection hujumi oqibatlari. SQL injection hujumi web-ilovalarga 
bo`ladigan hujumlar orasida eng xavflilaridan biri hisoblanadi. Buzg`unchi SQL 
injection hujumini muvaffaqqiyatli amalga oshirgan taqdirda quyidagi zararlarni 
keltirib chiqarishi mumkin: 

Ma’lumotlar bazasidagi konfidensial axborotni o`qish, o`zgartirish yoki 
o`chirish 

Ilovaga boshqa foydalanuvchi nomidan autentifikatsiyadan o`tish

Ma’mur huquqlarini qo`lga kiritish yoxud boshqa foydalanuvchiga yuqori 
huqularni berish 

Web-ilovani butkul ishdan chiqarish va boshqalar 
SQL injection hujumidan himoyalanish usullari. SQL injection hujumidan 
himoyalanish mexanizmlari quyidagi darajalarga bo`linadi: 


336 
1. Dastur kodi pog`onasidagi himoya mexanizmlari: 

Buyruqlarni parametrlash – bunda foydalanuvchi login va parollari 
to`g`ridan 
to`g`ri 
SQL 
kodiga 
kiritilmaydi, aksincha ularni ma’lum 
o`zgaruvchilarga o`zlashtirib olinadi 

Kirish ma’lumotlarini validatsiyalash – bunda kirish ma’lumotining tipi va 
tarkibi ma’lum protseslar yordamida tekshirib, so`ng bajarish uchun beriladi 

Chiqish ma’lumotlarini kodlash – validastiyalashga qo`shimcha tarzda 
ma’lumotlar chiqishida kodlash ham ishlatish ilova bardoshliligini oshiradi 

Kanonikalizatsiyalash – bu chiqish ma’lumotlarini Unicode va boshqa 
alternativ ko`rinishga o`tkazib yuborishdir. 
2. Platforma pog`onasidagi himoya mexanizmlari 

Dasturiy pluginlardan foydalanish-ular web-serverlar va dasturiy freymwork- 
lar uchun eng taniqli SQL zaifliklarni bartaraf etishda foydalanish mumkin 

Ma’lumotlar bazasining zaifliklarini kamaytirish-bunda bazadagi ma’lumot- 
larni shifrlangan holda saqlash, auditlash, public huquqlarni bekor qilish va 
parollarni heshlangan holda saqlash kabi texnikalardan foydalanish baza 
bardoshliligini sezilarli tarzda oshiradi. 
Web-ilovalar bugungi hayotimizning ajralmas qismiga aylanib ulgurgani va 
serverlarda biz haqimizda hatto o`zimiz ham bilmaydigan axborotlarning saqlani-
shi va ularni SQL injection hujumi orqali o`zgalar osonlik bilan olishi mumkinligi 
ko`pchilikni tashvishga solgan muammodir.Yuqoridagi maqolada mana shu hujum 
turi va undan ishonchli tarzda himoyalanish mexanizmlari ko`rib chiqildi. Ushbu 
tadqiqot web-ilovalarga uyshtiriladigan hujumlarning oldini olish nafaqat texnik, 
balki tashkiliy choralar orqali ham amalga oshirilishi mumkinligini ko`rsatib berdi 
Foydalanilgan adabiyotlar 
1. Justin Clarke-Salt (2012), “SQL injection attacks and defense”, 2
nd
edition, Syngress,
492-499 
2. Ettore Galluccio, Edoardo Caselli, Gabriele Lombari (2020), “SQL injection strategies”, 
Packt Publishing, 123-138 

Download 7,67 Mb.

Do'stlaringiz bilan baham:
1   ...   145   146   147   148   149   150   151   152   ...   260




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling

kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha


yuklab olish