【咸阳拍客】红梅朵朵迎春来
SQL Injection (Structured Query Language injection – shq. injektimi i gjuh?s s? strukturuar t? pyet?sor?ve). Aplikacionet n? internet b?jn? t? mundur q? vizitor?t e ueb faqeve t? paraqesin dhe t? marrin t? dh?na prej data baz?s p?rmes internetit duke p?rdorur shfletuesit e tyre. Data bazat jan? t? r?nd?sishme p?r ueb faqet moderne, ato ruajn? te dh?na te ndryshme nga vizitoret, marrin informata nga klient?t, furnizuesit e shume persona tjer?.
Sulmi SQL injection b?het me insertimin e SQL query (pyetjeve) p?rmes futjes s? t? dh?nave prej klientit n? aplikacion. Injektimi i suksessh?m i SQL mund t? b?j t? mundur leximin e t? dh?nave prej databaz?s, modifikimin e t? dh?nave apo edhe fshirjen e tyre nga databaza.
Shumica e faqeve apo aplikacioneve p?rfshijn? k?rkime n? faqe, forma t? ky?jes (login) ose kontakt forma, t? cilat mund t? p?rdoren p?r k?t? qellim. K?shtu q? b?jn? t? mundur q? p?rmes k?tyre forma t? cilat jan? t? lidhura me databaz? p?r verifikime te ndryshme, sulmuesit mundohen t? krijojn? query t? ndryshme t? cilat mund t? marrin informata prej databaz?s apo edhe t’i d?mtojn? ato.
Shembuj t? SQL Injektimit
[Redakto | Redakto n?p?rmjet kodit]Shembulli 1
[Redakto | Redakto n?p?rmjet kodit]SELECT * FROM Users WHERE Username='$username' AND Password='$password'
Nj? query i thjesht ?sht? paraqitur m? lart i cili p?rdoret p?r autorizimin e p?rdoruesi. N?se query kthen p?rgjigje do te thot? se ekziston nj? klient me at? username dhe me at? fjal?kalim, dhe k?shtu b?n mundur hyrjen ne sistem. Supozojm? se fusim k?to t? dh?na m? posht?:
$username = 1' or '1' = '1’—-
Query do t? b?het:
SELECT * FROM Users WHERE Username='1' OR '1' = '1'-- AND Password='$password'
P?r shkak t? vler?s 1=1 query do t? jete gjithmon? i v?rtet? (true), si dhe simboli ”--” b?n t? mundur q? pjesa p?r verifikimin e fjal?kalimit t? b?het koment, k?shtu q? sulmuesi mund t? futet n? sistem.
Shembulli 2
[Redakto | Redakto n?p?rmjet kodit]N? k?t? rast kemi t? b?jm? me gjetjen e nj? p?rdoruesi, var?sisht prej numrit e t? cilit databaza do t? kthej p?rgjigje.
”SELECT * FROM Users WHERE UserId = “ + txtUserId
N?se veprojm? si m? posht? at?her? ne do t? mundemi te fshijm? nj? prej tabelave t? baz?s s? t? dh?nave, kuptohet n?se e dim? m? par? emrin e tabel?s.
10; DROP TABLE Suppliers
Si do t? duket query:
SELECT * FROM Users WHERE UserId = 10; DROP TABLE Suppliers
Shembulli 3
[Redakto | Redakto n?p?rmjet kodit]N? shembullin n? vazhdim ?sht? paraqitur insertimi i nj? rreshti t? ri n? databaz?, gjithashtu ne mund edhe t? b?jm? azhurnimin e nj? rreshti t? caktuar n?se vet?m m? her?t e dim? emrin e p?rdoruesit ose nj? t? dh?n? t? tij p?r t? ditur se ku do t’i ndryshojm? t? dh?nat.
SELECT * FROM Users WHERE UserId = 10; INSERT INTO tblUsers VALUES(5,’john’,’smith’)
N?se p?rdorim shembullin e nj?jt? po tani p?r update:
SELECT * FROM Users WHERE UserId = 10; UPDATE tblUsers SET UserId=20 WHERE username=’sarah’
D?met nga SQL Injection
[Redakto | Redakto n?p?rmjet kodit]Shumic?s s? ueb sajteve sot iu k?rkohet q? t? b?jn? skanime p?r detektimin e SQL Injection. Disa kan? rrezik m? t? madh e disa m? t? vog?l, mir?po ?sht? fakt se rreziku nga kjo teknik? e hakimit ?sht? duke u rritur. Kjo rritje bazohet n? faktin se s? pari, ueb sajtet ofrojn? shum? mund?si t? interaksionit me vizitor?t, trend ky n? rritje dhe s? dyti sepse sulmuesit jan? duke u b?r? gjithnj? e m? t? aft?, duke gjetur aplikacione t? reja p?r hakim.
Rreziku nga sulmet me SQL Injection varet nga natyra e biznesit, numri i stafit dhe aft?sit? e tyre p?r menaxhimin e siguris? n? ueb. N? sh?njest?r jan? ueb sajtet t? cilat kan? t? dh?na t? vlershme, n?se kemi nj? biznes t? suksessh?m, n?se ueb sajt ka t? b?j me ??shtje t? r?nd?sishme politike apo sociale, apo n?se kemi ueb sajt lidhur me menaxhimin e parave.
D?met q? mund t? shkaktohen nga nj? sulm i suksessh?m i SQL Injection jan? shum? t? m?dha. Nj? teknik? m? e avancuar b?n q? sulmuesi t? mund t? qaset n? sistem p?rmes nj? dere t? fsheht? (backdoor). Sulmuesi fiton t? drejtat e administratorit q? do t? thot? se ai ka qasje t? pa limituar n? t? gjitha t? dh?nat q? ndodhen n? server si p.sh. t? dh?nat personale apo t? kompanis?.
SQL Injection mund t? kombinohet edhe me teknika t? tjera p?r t? manipuluar se si t? dh?nat shfaqen te vizitor?t e ueb faqes. Sulmuesit mundohen q? t? mos v?rehen n? m?nyr? q? t? vazhdojn? t? ken? qasje n? sistem, dhe zakonisht k?to injektime zbulohen muaj m? pas kur d?mi ?sht? i pariparuesh?m.
D?met kryesore q? mund t? shkaktohen nga SQL Injection jan?:
- Manipulimi me t? dh?na n? data baz?
- Vjedhja e informacioneve t? konsumatorit
- Humbje financiare
- D?mtim i mark?s (firm?s)
- Shitja e informatave
Manipulimi me t? dh?na n? data baz?
[Redakto | Redakto n?p?rmjet kodit]Sulmuesi pas injektimit ka mund?si t? ndryshoj?, t? krijoj? query t? ri dhe t? fshij? tabela t? t?ra me nj? komand? t? vetme. Nj? sulm masiv mund t? p?rfshij? korruptimin e t? dh?nave n? data baz? dhe shkat?rrimin e kopjeve (backup).
Vjedhja e informacioneve t? konsumatorit/stafit
[Redakto | Redakto n?p?rmjet kodit]N? rast se kemi nj? ueb site e cila ka t? b?j me ndonj? biznes apo kompani n? databaz?n e saj do t? ket? p?rve? tjerash shum? t? dh?na p?r stafin dhe konsumator?t. Sulmuesi mund t? vjedh k?to t? dh?na si? jan? SSN, adresat, nr. e telefonave, dat?lindjet dhe t? dh?na tjera me r?nd?si.
Humbje financiare
[Redakto | Redakto n?p?rmjet kodit]Ueb sajtet t? cilat merren me menaxhimin e t? hollave dhe transaksioneve kan? databaz?n me t? dh?na t? r?nd?sishme, t? cilat tregojn? p?r personat q? kan? b?r? transaksione, koh?n e kryerjes s? tyre, e deri te informatat q? p?rmbajn? numrat e kredit kartelave. Sulmuesit n? k?t? m?nyr? mund t’i qasen direkt llogarive bankare dhe t? b?jn? t?rheqjen e parave.
D?mtim i mark?s (firm?s)
[Redakto | Redakto n?p?rmjet kodit]Kur ueb sajti q? p?rmban t? dh?nat p?r ndonj? kompani apo mark? t? r?nd?sishme sulmohet, mund t? b?het d?mtimi i saj. N? k?t? rast p?rve? humbjeve materiale q? mund t? p?soj? ajo mark?, humbet edhe kredibiliteti n? t? dhe largohen konsumator?t.
Shitja e informacioneve
[Redakto | Redakto n?p?rmjet kodit]Sulmuesit zakonisht kur sulmojn? ueb sajtet kan? q?llim t? p?rfitojn? nga to. N? rastet kur informatat q? nxirren nga data baza kan? t? b?jn? me personalitete t? shquar qofshin ata t? bot?s s? spektaklit, televizionit, apo politik?s jan? t? dh?na shum? t? vlershme t? cilat mund t? shiten.
Referime
[Redakto | Redakto n?p?rmjet kodit]- Clarke, Justin (2009). SQL Injection Attacks And Defense (PDF). Arkivuar nga origjinali (PDF) m? 5 mars 2016. Marr? m? 9 qershor 2014.
{{cite book}}: Mungon ose ?sht? bosh parametri|language=(Ndihm?!) - "SQL Injection: What is it?".
{{cite web}}: Mungon ose ?sht? bosh parametri|language=(Ndihm?!) - "SQL Injection Understanding and Defending Against SQL Injection Attacks". Arkivuar nga origjinali m? 13 korrik 2014. Marr? m? 9 qershor 2014.
{{cite web}}: Mungon ose ?sht? bosh parametri|language=(Ndihm?!)