Ionnsaigh saidhbear: dè a th’ ann, mar a tha e ag obair, amas agus mar a chuireas e casg air: ionnsaigh in-stealladh SQL
Faodar ionnsaigh saidhbear a mhìneachadh mar ghnìomhachd nàimhdeil an aghaidh siostam, inneal, tagradh no eileamaid aig a bheil pàirt IT. Is e gnìomh a th’ ann a tha ag amas air buannachd fhaighinn don neach-ionnsaigh a dh’ aindeoin an ionnsaigh. An-diugh bidh sinn a’ dèanamh anailis air an ionnsaigh stealladh SQL
- SQL ionnsaigh stealladh
- Mar a leasaicheas ionnsaigh in-stealladh SQL
- SQL casg ionnsaigh stealladh
- An leudachadh MySql
- MEASADH SEACHDAIN
- FIOSRACHADH Tèarainteachd: bi eòlach air an nàmhaid
- RIAGHLADH & FREAGAIRT RIAGHLADH (MDR): dìon endpoint for-ghnìomhach
- SGRÙDADH Lìn Tèarainteachd: mion-sgrùdadh air an Lìon dorcha
- CYBERDRIVE: tagradh tèarainte airson a bhith a’ roinneadh agus a’ deasachadh fhaidhlichean
- «THE CUBE»: am fuasgladh rèabhlaideach
- Leughaidhean Co-cheangailte
Ùine leughaidh tuairmseach: 8 minuti
Tha diofar sheòrsaichean de ionnsaighean saidhbear ann, a tha ag atharrachadh a rèir nan amasan a tha rin coileanadh agus na suidheachaidhean teicneòlach agus co-theacsail:
- ionnsaighean saidhbear gus casg a chuir air siostam bho bhith ag obair,
- tha sin a’ comharrachadh co-rèiteachadh siostam,
- bidh cuid de dh’ ionnsaighean ag amas air dàta pearsanta a bhuineas do shiostam no companaidh,
- ionnsaighean saidhbear-iomairt mar thaic do dh’ adhbharan no iomairtean fiosrachaidh is conaltraidh
- etc ...
Am measg nan ionnsaighean as cumanta, o chionn ghoirid, tha ionnsaighean airson adhbharan eaconamach agus ionnsaighean airson sruthan dàta. An dèidh mion-sgrùdadh air an Fear sa Mheadhane Malware agus an phishing, o chionn beagan sheachdainean, an-diugh tha sinn a 'faicinn anSQL ionnsaigh stealladh.
Canar an fheadhainn a nì an ionnsaigh saidhbear, leotha fhèin no ann am buidhnean Hacker
SQL ionnsaigh stealladh
Tha in-stealladh SQL air a thighinn gu bhith na dhuilgheadas cumanta le làraich-lìn stèidhichte air SQL stòr-dàta. Bidh e a’ tachairt nuair a chuireas neach-ionnsaigh ceist SQL an gnìomh don fhaidhle stòr-dàta tro dàta cuir a-steach bhon neach-dèiligidh chun t-seirbheisiche. Thèid òrdughan SQL a chuir a-steach don itealan dàta (mar eisimpleir, an àite an logadh a-steach no am facal-faire) gus òrdughan SQL ro-mhìnichte a chuir an gnìomh. Faodaidh brath-stealladh SQL soirbheachail dàta mothachail a leughadh bhon stòr-dàta, atharraich (cuir a-steach, ùraich no cuir às) an dàta aig stòr-dàta, dèan gnìomhan rianachd (leithid dùnadh sìos) air an stòr-dàta, faigh air ais susbaint faidhle sònraichte agus, ann an cuid de chùisean, cuir òrdughan a-mach don t-siostam obrachaidh.
Mar eisimpleir, dh’ fhaodadh foirm lìn air làrach-lìn ainm cunntais neach-cleachdaidh iarraidh agus an uairsin a chuir gu stòr-dàta gus am fiosrachadh cunntais co-cheangailte a tharraing a’ cleachdadh SQL fiùghantach mar seo:
"SELECT *FROM users WHERE account = '" +userProvidedAccountNumber +"';"
Nuair a dh’ obraicheas an ionnsaigh seo, leis gu bheilear a’ tomhas ID a’ chunntais, bidh e a’ fàgail toll dha luchd-ionnsaigh. Mar eisimpleir, nan co-dhùin cuideigin ID cunntais a thoirt seachad "' no '1' = ' 1 '", dh'adhbhraicheadh seo sreang:
msgstr "SELECT *FROM users WHERE account = '' or '1' = '1';"
Leis gu bheil '1' = '1' an-còmhnaidh TRUE, tha an stòr-dàta tillidh e dàta airson a h-uile neach-cleachdaidh an àite dìreach aon neach-cleachdaidh.
Tha an so-leòntachd don t-seòrsa ionnsaigh cybersecurity seo an urra ri co-dhiù nach dèan SQL sgrùdadh cò aig a bheil cead no nach eil. Mar sin, bidh in-stealladh SQL ag obair sa mhòr-chuid ma chleachdas làrach-lìn SQL fiùghantach. Cuideachd, tha in-stealladh SQL gu math cumanta le tagraidhean PHP agus ASP air sgàth cho tric sa tha siostaman nas sine. Chan eil tagraidhean J2EE agus ASP.NET cho dualtach in-stealladh SQL fhaighinn air sgàth nàdar an eadar-aghaidh prògramaidh a tha ri fhaighinn.
Gus do dhìon fhèin bho ionnsaigh in-stealladh SQL, cuir am pàtran ceadan as lugha0sochair nad do chuid stòr-dàta. Gabh ri modhan glèidhte (dèan cinnteach nach eil na modhan sin a’ toirt a-steach SQL fiùghantach sam bith) agus aithrisean a chaidh ullachadh roimhe (ceistean le paramadair). Tha an còd a tha a 'ruith a dh'ionnsaigh an stòr-dàta feumaidh iad a bhith làidir gu leòr gus casg a chuir air ionnsaighean stealladh. A bharrachd air an sin, dearbhaich dàta cuir a-steach an aghaidh liosta geal ìre tagraidh.
Mar a leasaicheas ionnsaigh in-stealladh SQL
Bidh an neach-ionnsaigh a’ cur bacadh air ceistean a nì tagradh dha fhèin stòr-dàta.
Ecco thig funziona:
- A’ comharrachadh cuir a-steach so-leònte- Bidh luchd-ionnsaigh a’ lorg cuir a-steach so-leònte (mar eisimpleir, raointean cuir a-steach luchd-cleachdaidh) air làrach-lìn no tagradh.
- Cleachdadh so-leònteachd: Bidh iad a’ stealladh còd SQL droch-rùnach a-steach don chur-a-steach sin.
- Cuir an gnìomh òrdugh SQL a chaidh a dhealbhadh gu sònraichte: Bidh cuir a-steach an neach-ionnsaigh gu bhith na phàirt de cheist SQL, a’ cur an gnìomh àithne a chaidh a dhealbhadh gu sònraichte.
- Builean: Faodaidh ionnsaighean SQLi soirbheachail leantainn gu ruigsinneachd gun chead air dàta mothachail (m.e. faclan-faire, mion-fhiosrachadh cairt creideas) no eadhon cron a dhèanamh air an fhrithealaiche.
Bacadh ionnsaigh SQL banachdach
Gus casg a chuir air ceistean neo-riaghailteach air na h-aplacaidean lìn sin a tha ag eadar-obrachadh le DB, tha e gu cinnteach bunaiteach, anns an ìre buileachaidh, do phrògram a bheir seachad smachd air a h-uile port ruigsinneachd a dh’ fhaodadh a bhith ann don tasglann riaghlaidh dàta, leithid foirmean, duilleagan rannsachaidh agus foirm sam bith eile anns a bheil ceist SQL.
Faodaidh dearbhadh nan cuir a-steach, na ceistean paramadair tro theamplaidean agus riaghladh iomchaidh air aithris mhearachdan deagh chleachdaidhean prògramaidh a tha feumail airson an adhbhair seo.
Seo cuid de mholaidhean:
- thoir aire do bhith a’ cleachdadh eileamaidean còd SQL a dh’ fhaodadh a bhith cunnartach (iomraidhean singilte agus camagan) a dh’ fhaodadh a bhith air am filleadh a-steach le caractaran smachd iomchaidh agus a chleachdadh airson cleachdaidhean gun chead;
- cleachd an leudachadh MySQLi;
- cuir à comas faicsinneachd dhuilleagan mearachd air làraich. Gu tric tha am fiosrachadh seo luachmhor don neach-ionnsaigh, as urrainn lorg a dhèanamh air dearbh-aithne agus structar nan frithealaichean DB ag eadar-obrachadh leis an tagradh targaid.
An leudachadh MySql
Faodaidh còdadh ceart lùghdachadh mòr a thoirt air so-leòntachd tagradh lìn a thaobh in-stealladh SQL neo-riaghailteach. Is e fuasgladh math a bhith a’ cleachdadh an leudachadh MySQLi (MySQL leasaichte) am measg nan leabharlannan a tha PHP rim faighinn airson eadar-obrachadh le MySQL.
Bidh Mysqli, mar a tha an t-ainm a’ moladh, a’ dèanamh leasachaidhean air Mysql gu sònraichte le bhith a’ toirt seachad dà dhòigh prògramaidh:
- modhan-obrach (cleachdadh ghnìomhan traidiseanta);
- stèidhichte air cuspair (cleachdadh chlasaichean agus dhòighean).
Tha e cudromach cuideachd am brabhsair a bhios sinn a’ cleachdadh airson brobhsadh air an eadar-lìn a chumail ùraichte agus is dòcha inneal sgrùdaidh a chuir a-steach a tha comasach air dearbhadh gu bheil so-leòntachd ann an còd làrach-lìn.
MEASADH SEACHDAIN
Is e seo am pròiseas bunaiteach airson ìre tèarainteachd làithreach do chompanaidh a thomhas.
Gus seo a dhèanamh, feumar Sgioba Cyber a tha ullaichte gu leòr a thoirt a-steach, comasach air mion-sgrùdadh a dhèanamh air staid a ’chompanaidh a thaobh tèarainteachd IT.
Faodar an anailis a dhèanamh gu sioncronaich, tro agallamh a rinn an Sgioba Cyber no
cuideachd asyncronach, le bhith a’ lìonadh ceisteachan air-loidhne.
FIOSRACHADH Tèarainteachd: bi eòlach air an nàmhaid
Bidh còrr air 90% de ionnsaighean hacker a’ tòiseachadh le gnìomh luchd-obrach.
Is e mothachadh a’ chiad inneal gus cuir an-aghaidh cunnart saidhbear.
RIAGHLADH & FREAGAIRT RIAGHLADH (MDR): dìon endpoint for-ghnìomhach
Tha dàta corporra air leth luachmhor dha cybercriminals, agus is e sin as coireach gu bheil puingean crìochnachaidh agus frithealaichean air an cuimseachadh. Tha e duilich do fhuasglaidhean tèarainteachd traidiseanta cuir an-aghaidh bagairtean a tha a’ tighinn am bàrr. Bidh eucoirich saidhbear a’ dol seachad air dìonan an-aghaidh, a’ gabhail brath air neo-chomas sgiobaidhean IT corporra sùil a chumail air agus a’ riaghladh tachartasan tèarainteachd timcheall a’ ghleoc.
Tha MDR na shiostam tùrail a bhios a’ cumail sùil air trafaic lìonraidh agus a’ dèanamh mion-sgrùdadh giùlain
siostam obrachaidh, a’ comharrachadh gnìomhachd amharasach agus gun iarraidh.
Tha am fiosrachadh seo air a chuir gu SOC (Ionad Gnìomh Tèarainteachd), obair-lann le sgioba
sgrùdairean cybersecurity, aig a bheil prìomh theisteanasan cybersecurity.
Ma thachras neo-riaghailteachd, faodaidh an SOC, le seirbheis air a riaghladh 24/7, eadar-theachd aig diofar ìrean de dhragh, bho bhith a’ cur post-d rabhaidh gu bhith a’ dealachadh an neach-dèiligidh bhon lìonra.
Cuidichidh seo le bhith a’ cuir casg air bagairtean a dh’ fhaodadh a bhith ann am bud agus gus milleadh neo-sheasmhach a sheachnadh.
SGRÙDADH Lìn Tèarainteachd: mion-sgrùdadh air an Lìon dorcha
Tha an lìon dorcha a’ toirt iomradh air susbaint an Lìon Cruinne ann an lìonan dorcha a ruigear tron eadar-lìn tro bhathar-bog sònraichte, rèiteachaidhean agus slighean-inntrigidh.
Leis an Sgrùdadh Lìn Tèarainteachd againn is urrainn dhuinn casg agus cumail a-steach ionnsaighean saidhbear, a’ tòiseachadh le mion-sgrùdadh air raon a ’chompanaidh (me: ilwebcreativo.it) agus seòlaidhean puist-d fa leth.
CYBERDRIVE: tagradh tèarainte airson a bhith a’ roinneadh agus a’ deasachadh fhaidhlichean
Tha CyberDrive na mhanaidsear faidhle sgòthan le ìrean tèarainteachd àrd mar thoradh air a h-uile faidhle a chrioptachadh gu neo-eisimeileach. Dèan cinnteach à tèarainteachd dàta corporra fhad ‘s a tha thu ag obair san sgòth agus a’ roinneadh agus a ’deasachadh sgrìobhainnean le luchd-cleachdaidh eile. Ma thèid an ceangal a chall, chan eil dàta air a stòradh air PC an neach-cleachdaidh. Tha CyberDrive a’ cur casg air faidhlichean a bhith air an call mar thoradh air milleadh tubaisteach no air an cuir a-mach airson mèirle, biodh e corporra no didseatach.
«THE CUBE»: am fuasgladh rèabhlaideach
An datacenter in-a-box as lugha agus as cumhachdaiche a tha a’ tabhann cumhachd coimpiutaireachd agus dìon bho mhilleadh corporra is loidsigeach. Air a dhealbhadh airson riaghladh dàta ann an àrainneachdan iomaill agus robo, àrainneachdan reic, oifisean proifeasanta, oifisean iomallach agus gnìomhachasan beaga far a bheil àite, cosgais agus caitheamh lùtha riatanach. Chan fheum e ionadan dàta agus caibineatan raca. Faodar a shuidheachadh ann an àrainneachd de sheòrsa sam bith mar thoradh air bòidhchead buaidh ann an co-chòrdadh ris na h-àiteachan obrach. Bidh "The Cube" a 'cur teicneòlas bathar-bog iomairt aig seirbheis ghnìomhachasan beaga is meadhanach.
Leughaidhean Co-cheangailte
Ercole Palmeri