Zibererasoa: zer den, nola funtzionatzen duen, helburua eta nola saihestu: SQL injekzio erasoa

Zibereraso bat da defisistema, tresna, aplikazio edo osagai informatiko bat duen elementu baten aurkako jarduera gisa. Erasotzaileari etekina ateratzea helburu duen jarduera da, erasotuaren kontura. Gaur SQL injekzio erasoa aztertuko dugu

Zibereraso mota desberdinak daude, lortu nahi diren helburuen eta eszenatoki teknologikoen eta testuinguruaren arabera aldatzen direnak:

• ziber-erasoak sistema bat funtzionatzea eragozteko, 
• sistema baten konpromisoa adierazten duena, 
• eraso batzuek sistema edo enpresa baten jabetzako datu pertsonalak dituzte helburu,
• kausen edo informazio eta komunikazio kanpainen aldeko ziber-aktibismoaren erasoak
• etab ...

Eraso ohikoenen artean, azkenaldian, helburu ekonomikoetarako erasoak eta datu-fluxuetarako erasoak daude. Aztertu ondoren Gizona Erdian, The malware eta Phishing, azken asteetan, gaur ikusten duguSQL injekzio erasoa. 

Zibererasoa egiten dutenei, bakarka edo taldean, deitzen zaie Hacker

SQL injekzio erasoa

SQL injekzio ohiko arazo bat bihurtu da datu-baseetan oinarritutako webguneetan. Erasotzaile batek datu-baseari SQL kontsulta bat exekutatzen duenean gertatzen da bezeroaren zerbitzariaren sarrerako datuen bidez. SQL komandoak datu-planoko sarreran txertatzen dira (adibidez, saioa hasteko edo pasahitzaren ordez) SQL komandoak aurretik exekutatzeko.defigaua. SQL injekzio-explotazio arrakastatsu batek datu-baseko datu sentikorrak irakur ditzake, datu-basearen datuak alda ditzake (txertatu, eguneratu edo ezabatu), datu-basean administrazio-eragiketak egin (adibidez, itzali), fitxategi jakin baten edukia berreskuratu eta, kasu batzuetan. , eman komandoak sistema eragilean.

Adibidez, webgune bateko web-inprimaki batek erabiltzailearen kontuaren izena eska dezake eta, ondoren, datu-basera bidali, erlazionatutako kontuaren informazioa ateratzeko, honela SQL dinamikoa erabiliz:

"SELECT * FROM erabiltzaileak WHERE kontua = '" + userProvidedAccountNumber + "';"

Eraso honek funtzionatzen duenean, kontuaren IDa asmatzen denez, zulo bat uzten du erasotzaileentzat. Adibidez, norbaitek kontu ID bat ematea erabakiko balu "'edo' 1 '=' 1 '", honek kate bat sortuko luke:

"SELECT * FROM erabiltzaileak WHERE kontua = '' edo '1' = '1';"

'1' = '1' beti EGIA denez, datu-baseak erabiltzaile guztien datuak itzuliko ditu erabiltzaile bakarraren ordez.

Zibersegurtasun eraso mota honen ahultasuna SQL-k baimenak nork izan ditzakeen edo ez egiaztatzen ez duenaren araberakoa da. Hori dela eta, SQL injekzioek funtzionatzen dute gehienbat webgune batek SQL dinamikoa erabiltzen badu. Gainera, SQL injekzioa oso ohikoa da PHP eta ASP aplikazioekin, sistema zaharrenen prebalentzia dela eta. J2EE eta ASP.NET aplikazioek SQL injekzio ustiagarria jasotzeko aukera gutxiago dute eskuragarri dauden programazio interfazeen izaera dela eta.

SQL injekzio-eraso batetik babesteko, aplikatu gutxieneko pribilegio-eredua zure datu-baseetan. Jarraitu gordetako prozedurei (ziurtatu prozedura hauek ez dutela SQL dinamikorik sartzen) eta aldez aurretik prestatutako instrukzioak (parametrotutako kontsultak). Datu-basearen aurka exekutatzen den kodeak injekzio erasoak saihesteko nahikoa sendoa izan behar du. Era berean, balioztatu sarrerako datuak aplikazio-mailako zerrenda zuri batekin.

Erasoren bat jasan baduzu eta funtzionamendu normala berreskuratu behar baduzu, edo, besterik gabe, argi ikusi eta hobeto ulertu nahi baduzu, edo prebenitu nahi baduzu: idatzi iezaguzu rda@hrcsrl.it helbidera. 

Baliteke gure Man in the Middle mezua interesatzea

Erasoren bat jasan baduzu eta funtzionamendu normala berreskuratu behar baduzu, edo, besterik gabe, argi ikusi eta hobeto ulertu nahi baduzu, edo prebenitu nahi baduzu: idatzi iezaguzu rda@hrcsrl.it helbidera. 

Baliteke gure Malware Posta interesatzea

Erasoen prebentzioa SQL injekzioa

DB batekin elkarreragiten duten web aplikazio horietan kontsulta arbitrarioak sartzea saihesteko, funtsezkoa da, inplementazio-fasean, datuen kudeaketaren artxiborako sarbide potentzial guztien kontrola eskaintzen duen programazioa, hala nola inprimakiak, bilaketa-orriak eta SQL kontsulta bat barne hartzen duen beste edozein inprimaki.

Sarrerak balioztatzeak, txantiloien bidezko kontsulta parametrizatuak eta akatsen txostenaren kudeaketa egokiak programazio-jardunbide egokiak izan ditzake horretarako erabilgarriak.

Hona hemen aholku batzuk:

• arreta jarri arriskutsuak izan daitezkeen SQL kode-elementuen erabilerari (komatxo bakunak eta parentesi), kontrol-karaktere egokiekin integra daitezkeenak eta baimenik gabeko erabileretarako ustiatu daitezkeenak;
• erabili MySQLi luzapena;
• desgaitu guneetako errore-orrien ikusgarritasuna. Sarritan informazio hori baliotsua da erasotzailearentzat, helburuko aplikazioarekin elkarreragiten duten DB zerbitzarien identitatea eta egituraren jarraipena egin ahal izateko.

MySql luzapena

Kodeketa zehatzak web-aplikazio baten ahultasuna nabarmen murriztu dezake SQL injekzio arbitrarioaren aurrean. Irtenbide on bat MySQLi luzapena erabiltzea da (MySQL hobetua) PHPk eskuragarri dituen liburutegien artean MySQLrekin elkarreragiteko.

Mysqli-k, izenak dioen bezala, Mysql-en hobekuntzak egiten ditu bereziki bi programazio-ikuspegi eskainiz:

• prozedurazkoak (funtzio tradizionalen erabilera);
• objektuetara zuzendua (klase eta metodoen erabilera).

Garrantzitsua da, halaber, Interneten nabigatzeko erabiltzen dugun nabigatzailea beti eguneratuta edukitzea eta, beharbada, webgune baten kodean ahultasunen presentzia egiaztatzeko gai den analisi-tresna bat instalatzea.

SEGURTASUNAREN EBALUAZIOA

Zure enpresaren egungo segurtasun maila neurtzeko oinarrizko prozesua da.
Horretarako behar bezala prestatuta dagoen Cyber ​​​​Talde bat inplikatzea beharrezkoa da, enpresaren egoera informatikoaren segurtasunari dagokionez analisia egiteko gai dena.
Azterketa modu sinkronikoan egin daiteke, Cyber ​​​​Team-ek egindako elkarrizketa baten bidez edo
asinkronoa ere, galdetegi bat sarean betez.

Lagun zaitzakegu, jarri harremanetan HRC srl-ko espezialistekin rda@hrcsrl.it helbidera idatzita.

SEGURTASUNAREN KONTZIENTZIA: ezagutu etsaia

Hackeren erasoen % 90 baino gehiago langileen ekintzarekin hasten dira.
Sentsibilizazioa da ziber-arriskuari aurre egiteko lehen arma.

Horrela sortzen dugu "Kontzientzia", lagun zaitzakegu, jarri harremanetan HRC srl-ko espezialistekin rda@hrcsrl.it helbidera idatzita.

MANAGED DETECTION AND RESPONSE (MDR): amaierako puntuen babes proaktiboa

Datu korporatiboek balio izugarria dute ziberkriminalentzat, eta, horregatik, amaiera-puntuak eta zerbitzariak bideratzen dira. Zaila da segurtasun-irtenbide tradizionalek sortzen ari diren mehatxuei aurre egitea. Ziberkriminalek birusen aurkako defentsak saihestu egiten dituzte, IT talde korporatiboek segurtasun-gertaerak etengabe kontrolatzeko eta kudeatzeko duten ezintasuna aprobetxatuz.

Gure MDR-rekin lagun zaitzakegu, jarri harremanetan HRC srl-ko espezialistekin rda@hrcsrl.it helbidera idatzita.

MDR sareko trafikoa kontrolatzen duen eta portaeraren azterketa egiten duen sistema adimenduna da
sistema eragilea, jarduera susmagarriak eta nahi ez direnak identifikatuz.
Informazio hori SOC batera (Security Operation Center) batera igortzen da, laborategira
zibersegurtasuneko analistak, zibersegurtasun ziurtagiri nagusien jabe.
Anomalia gertatuz gero, SOCk, 24/7 kudeatutako zerbitzu batekin, larritasun-maila ezberdinetan esku hartu dezake, abisu-mezu elektroniko bat bidaltzetik bezeroa saretik isolatzeraino.
Horrek mehatxu potentzialak blokeatzen lagunduko du eta kalte konponezinak saihesten ditu.

SEGURTASUN WEB JARRAIPENA: WEB ILUNAREN analisia

Web iluna software, konfigurazio eta sarbide espezifikoen bidez Internet bidez irits daitezkeen sare ilunetako World Wide Web-eko edukiei dagokie.
Gure Segurtasun Web Monitorizazioari esker, ziber-erasoak prebenitu eta eduki ditzakegu, enpresaren domeinuaren azterketatik abiatuta (adibidez: ilwebcreativo.it ) eta banakako helbide elektronikoak.

Jar zaitez gurekin harremanetan rda@hrcsrl.it helbidera idatziz, prestatu dezakegu mehatxua isolatzeko, hedapena saihesteko eta konpontzeko plan bat defibeharrezko konponketa-ekintzak hartzen ditugu. Zerbitzua 24/XNUMX eskaintzen da Italiatik

CYBERDRIVE: fitxategiak partekatzeko eta editatzeko aplikazio segurua

CyberDrive hodeiko fitxategien kudeatzailea da, segurtasun estandar altuak dituena, fitxategi guztien enkriptazio independenteari esker. Bermatu datu korporatiboen segurtasuna hodeian lan egiten duzun bitartean eta dokumentuak beste erabiltzaile batzuekin partekatzen eta editatzen dituzun bitartean. Konexioa galtzen bada, ez da daturik gordetzen erabiltzailearen ordenagailuan. CyberDrive-k fitxategiak ustekabeko kalteen ondorioz galtzea edo lapurretagatik kanporatzea saihesten du, fisikoa edo digitala izan.

«KUBOA»: irtenbide iraultzailea

Kutxa barneko datu-zentro txikiena eta indartsuena informatika-potentzia eta kalte fisiko eta logikoetatik babesten dituena. Datuak kudeatzeko diseinatua, ertz eta robot inguruneetan, txikizkako inguruneetan, bulego profesionaletan, urruneko bulegoetan eta negozio txikietan, non espazioa, kostua eta energia-kontsumoa ezinbestekoak diren. Ez du datu zentrorik eta rack armairurik behar. Edozein ingurunetan kokatu daiteke lan-espazioekin bat datorren inpaktuaren estetikari esker. «The Cube»-k enpresa-softwarearen teknologia enpresa txiki eta ertainen zerbitzura jartzen du.

Jar zaitez gurekin harremanetan rda@hrcsrl.it helbidera idatziz.

Baliteke gure Man in the Middle mezua interesatzea

Ercole Palmeri: Berrikuntzaren mendekoa

[azken_post_list id=”12982″]