Većina provala obavljena je napadom poznatim pod imenom SQL Injection.

Na Internetu se može naći velik broj besplatnih aplikacija za skeniranje ranjivosti na XSS i SQL injection napade, što je vrlo bitno za Drupal web stranice.

SQL injection (SQLi) je napad koji ne koristi neku pojedinačnu ranjivost u softveru, već se oslanja na nedovoljnu provjeru unesenih vrijednosti u web aplikacijama.

SQL injection napad je jedna od najčešće korištenih metoda napada na web aplikacije.

SQL injection napadom zlonamjerni korisnik može, ubacivanjem posebno oblikovanog SQL koda u polja za unos, mijenjati SQL upite koje web aplikacija šalje bazi podataka.

SQL injection napad javlja se kao posljedica neodgovarajuće provjere podataka koje korisnici unose kroz sučelje web aplikacije.

Razina pristupa koju zlonamjerni napadač stječe SQL injection napadom ovisi o razini prava koju web aplikaciji dodjeljuje baza podataka.

Stalna nadogradnja poslužitelja, baze podataka, programskih jezika i operacijskih sustava je najbolji način zaštite od SQL injection napada.

Kao što sam naslov članka govori SQL injection napad je kojim se inject - a odnosno ubacuje ili manipulira SQL kôdom.

Ovisno o bazi podataka, ranjivost sustava na SQL injection napade može napadaču omogućiti različite razine pristupa podacima ili sustavu.

Web aplikacije su danas jedan od najotvorenijih kanala za izvođenje napada na računalnu mrežu, pa testiranje web aplikacija i otkrivanje propusta koji omogućuje SQL Injection, Cross-Site Scripting ili druge napade postaje neodgodiva obaveza.

SQL injection) je tehnika koja eksploatira sigurnosnu ranjivost koja se događa u sloju baze podataka aplikacije.

Acunetix web skener uključuje alat za provjeru autentifikacije koji uz to provjerava Google hacking, SQL injection, Cross site scripting te mnoge druge ranjivosti.

Tisuće kompromitiranih web poslužitelja SQL injection napadima

KAKO SE ZAŠTITITI OD SQL INJECTION NAPADA

Kada potencijalni napadač shvati da je sustav ranjiv na SQL injection napad, on je u mogućnosti preoblikovati SQL upite pomoću naredbi koje unosi u polja za unos podataka.

Nažalost, utjecaj SQL injection napada moguće je otkriti tek kada je otkrivena i krađa.

To iz dostupne dokumentacije nije sasvim razjašnjeno, no postoji nekoliko metoda, od zloupotrebe nezaštićene wireless mreže (što se i dogodilo u TJX), zloupotrebom SQL Injection nedostataka ili navođenja zaposlenika tvrtke na izvođenje malicioznog koda koji bi bio smješten na pripremljenim serverima (ne treba zanemariti ni tehnike socijalnog inžinjeringa).

Način pristupa do podataka razlikovao se od slučaja do slučaja: kod jedne od žrtvi su naprosto snifali promet na mreži i otkrivali nekriptirane brojeve kartica, kod drugih su pristupali bazi podataka (po svemu sudeću SQL Injection napadima koji mogu biti i veoma sofisticirani)...

Na temelju našeg prijašnjeg iskustva možemo zaključiti da postoji značajna šansa da su Vaši podaci izloženi riziku SQL injection napada.

JE LI MOJA BAZA PODATAKA IZLOŽENA RIZIKU SQL INJECTION NAPADA?

Teško je odgovoriti na pitanje je li vaša web stranica ili aplikacija ranjiva na SQL injection napade pogotovo ako niste programer ili ju niste sami izradili.

Teme koje očekuju natjecatelje odnose se na područja zaštite i enkripcije podataka, zaštite od curenja podataka (Data Leak Protection), sigurnosti web aplikacija (SQL Injection, Cross Site Scripting...), općenite sigurnosti aplikacija (Buffer, Heap Overflow), nesigurno implementirane poslužitelje i servise, mrežne ranjivosti i slično.

Kako objavljuje ISC, glavna meta napada bile su web aplikacije osjetljive na SQL Injection napade.

Napadači koji dođu u posjed takvih informacija mogu izvesti napade poput SQL injection, XSS ili DoS.

Prema WhiteHat Website Security Statistics Report izvješću iz 2009., SQL Injection ranjivosti čine 17 % svih ranjivosti web aplikacija.

Ova činjenica značajno povećava rizik koji proizlazi iz SQL Injection ranjivosti.

Ovaj dokument opisuje napredne metode blind SQL Injection napada na PostgreSQL baze podataka.

Vatrozid i ostali sigurnosni mehanizmi osiguravaju jako malu ili gotovo nikakvu obranu od mogućih SQL injection napada.

SQL injection) je metoda koja iskorištava sigurnosne ranjivosti kod pristupa web aplikacije bazi podataka.