ការវាយប្រហារតាមអ៊ីនធឺណិត៖ តើវាជាអ្វី របៀបដែលវាដំណើរការ គោលបំណង និងវិធីការពារវា៖ ការវាយប្រហារ SQL injection

ការវាយប្រហារតាមអ៊ីនធឺណិតគឺ definible ជាសកម្មភាពអរិភាពប្រឆាំងនឹងប្រព័ន្ធ ឧបករណ៍ កម្មវិធី ឬធាតុដែលមានសមាសធាតុកុំព្យូទ័រ។ វាគឺជាសកម្មភាពដែលមានគោលបំណងដើម្បីទទួលបានអត្ថប្រយោជន៍សម្រាប់អ្នកវាយប្រហារដោយចំណាយលើការវាយប្រហារ។ ថ្ងៃនេះយើងក្រឡេកមើលការវាយប្រហារ SQL injection

មានប្រភេទផ្សេងៗនៃការវាយប្រហារតាមអ៊ីនធឺណិត ដែលប្រែប្រួលទៅតាមគោលបំណងដែលត្រូវសម្រេច និងសេណារីយ៉ូបច្ចេកវិជ្ជា និងបរិបទ៖

• ការវាយប្រហារតាមអ៊ីនធឺណិតដើម្បីការពារប្រព័ន្ធមិនដំណើរការ, 
• ដែលចង្អុលទៅការសម្របសម្រួលនៃប្រព័ន្ធមួយ។, 
• ការវាយប្រហារមួយចំនួនសំដៅទៅលើទិន្នន័យផ្ទាល់ខ្លួនដែលជាកម្មសិទ្ធិរបស់ប្រព័ន្ធ ឬក្រុមហ៊ុន,
• ការវាយប្រហារតាមប្រព័ន្ធអ៊ីនធឺណែត ដើម្បីគាំទ្រដល់បុព្វហេតុ ឬយុទ្ធនាការព័ត៌មាន និងការទំនាក់ទំនង
• ល ...

ក្នុងចំណោមការវាយប្រហារទូទៅបំផុត ក្នុងរយៈពេលថ្មីៗនេះ មានការវាយប្រហារសម្រាប់គោលបំណងសេដ្ឋកិច្ច និងការវាយប្រហារសម្រាប់លំហូរទិន្នន័យ។ បន្ទាប់ពីធ្វើការវិភាគ បុរសម្នាក់នៅកណ្តាលគាត់ មេរោគ និង ការបន្លំក្នុងប៉ុន្មានសប្តាហ៍ថ្មីៗនេះ ថ្ងៃនេះយើងឃើញការវាយប្រហារ SQL. 

អ្នក​ដែល​ធ្វើ​ការ​វាយ​ប្រហារ​តាម​អ៊ីនធឺណិត​តែ​ម្នាក់​ឯង​ឬ​ជា​ក្រុម​ត្រូវ​បាន​ហៅ ពួក hacker

ការវាយប្រហារ SQL

ការចាក់ SQL បានក្លាយជាបញ្ហាទូទៅជាមួយគេហទំព័រដែលដំណើរការដោយមូលដ្ឋានទិន្នន័យ។ វាកើតឡើងនៅពេលដែលអ្នកវាយប្រហារប្រតិបត្តិសំណួរ SQL ទៅកាន់មូលដ្ឋានទិន្នន័យតាមរយៈទិន្នន័យបញ្ចូលពីអតិថិជនទៅម៉ាស៊ីនមេ។ ពាក្យ​បញ្ជា SQL ត្រូវ​បាន​បញ្ចូល​ទៅ​ក្នុង​ការ​បញ្ចូល​យន្តហោះ​ទិន្នន័យ (ឧទាហរណ៍ ជំនួស​ឱ្យ​ការ​ចូល ឬ​ពាក្យ​សម្ងាត់) ដើម្បី​ប្រតិបត្តិ​ពាក្យ​បញ្ជា SQL មុនdefiយប់។ ការកេងប្រវ័ញ្ចការចាក់ SQL ដែលជោគជ័យអាចអានទិន្នន័យរសើបពីមូលដ្ឋានទិន្នន័យ កែប្រែ (បញ្ចូល ធ្វើបច្ចុប្បន្នភាព ឬលុប) ទិន្នន័យមូលដ្ឋានទិន្នន័យ អនុវត្តប្រតិបត្តិការរដ្ឋបាល (ដូចជាការបិទ) នៅលើមូលដ្ឋានទិន្នន័យ ទាញយកមាតិកានៃឯកសារដែលបានផ្តល់ឱ្យ ហើយក្នុងករណីខ្លះ ចេញពាក្យបញ្ជានៅលើប្រព័ន្ធប្រតិបត្តិការ។

ឧទាហរណ៍ ទម្រង់គេហទំព័រនៅលើគេហទំព័រអាចស្នើសុំឈ្មោះគណនីរបស់អ្នកប្រើ ហើយបន្ទាប់មកបញ្ជូនវាទៅមូលដ្ឋានទិន្នន័យ ដើម្បីទាញយកព័ត៌មានគណនីដែលពាក់ព័ន្ធដោយប្រើ SQL ថាមវន្តដូចនេះ៖

"SELECT * FROM users WHERE account = '" + userProvidedAccountNumber + "';"

នៅពេលដែលការវាយប្រហារនេះដំណើរការ ដោយសារតែលេខសម្គាល់គណនីត្រូវបានទាយ វាទុករន្ធសម្រាប់អ្នកវាយប្រហារ។ ឧទាហរណ៍ ប្រសិនបើនរណាម្នាក់សម្រេចចិត្តផ្តល់លេខសម្គាល់គណនី "' ឬ ' 1 ' = ' 1 ' "" វានឹងនាំអោយមានខ្សែអក្សរ៖

"SELECT * FROM users WHERE account = '' ឬ '1' = '1';"

ដោយសារ '1' = '1' គឺតែងតែពិត មូលដ្ឋានទិន្នន័យនឹងត្រឡប់ទិន្នន័យសម្រាប់អ្នកប្រើប្រាស់ទាំងអស់ ជំនួសឱ្យអ្នកប្រើប្រាស់តែមួយ។

ភាពងាយរងគ្រោះចំពោះប្រភេទនៃការវាយប្រហារតាមអ៊ីនធឺណិតនេះ អាស្រ័យលើថាតើ SQL មិនពិនិត្យមើលថាតើអ្នកណាអាចមានការអនុញ្ញាតឬអត់។ ដូច្នេះការចាក់ SQL ដំណើរការភាគច្រើនប្រសិនបើគេហទំព័រប្រើ SQL ថាមវន្ត។ ផងដែរ ការចាក់ SQL គឺជារឿងធម្មតាណាស់ជាមួយកម្មវិធី PHP និង ASP ដោយសារតែប្រេវ៉ាឡង់នៃប្រព័ន្ធចាស់។ កម្មវិធី J2EE និង ASP.NET ទំនងជាមិនសូវទទួលបានការចាក់ SQL ដែលអាចកេងប្រវ័ញ្ចបានទេ ដោយសារលក្ខណៈនៃចំណុចប្រទាក់កម្មវិធីដែលមាន។

ដើម្បីការពារខ្លួនអ្នកពីការវាយប្រហារដោយការចាក់ SQL សូមអនុវត្តគំរូសិទ្ធិយ៉ាងហោចណាស់ 0 នៃការអនុញ្ញាតនៅក្នុងមូលដ្ឋានទិន្នន័យរបស់អ្នក។ ប្រកាន់ខ្ជាប់នូវនីតិវិធីដែលបានរក្សាទុក (ត្រូវប្រាកដថានីតិវិធីទាំងនេះមិនរួមបញ្ចូល SQL ថាមវន្តណាមួយទេ) និងសេចក្តីថ្លែងការណ៍ដែលបានរៀបចំពីមុន (សំណួរដែលបានកំណត់ប៉ារ៉ាម៉ែត្រ)។ កូដដែលដំណើរការប្រឆាំងនឹងមូលដ្ឋានទិន្នន័យត្រូវតែរឹងមាំគ្រប់គ្រាន់ដើម្បីការពារការវាយប្រហារដោយការចាក់។ ដូចគ្នានេះផងដែរ ធ្វើឱ្យទិន្នន័យបញ្ចូលមានសុពលភាពប្រឆាំងនឹងបញ្ជីសកម្រិតកម្មវិធី។

ប្រសិនបើអ្នកបានរងការវាយប្រហារ ហើយត្រូវការស្តារប្រតិបត្តិការធម្មតាឡើងវិញ ឬប្រសិនបើអ្នកចង់ឃើញច្បាស់ និងយល់កាន់តែច្បាស់ ឬចង់ការពារ៖ សរសេរមកយើងតាមរយៈ rda@hrcsrl.it។ 

អ្នកប្រហែលជាចាប់អារម្មណ៍លើ Man in the Middle post របស់យើង។

ប្រសិនបើអ្នកបានរងការវាយប្រហារ ហើយត្រូវការស្តារប្រតិបត្តិការធម្មតាឡើងវិញ ឬប្រសិនបើអ្នកចង់ឃើញច្បាស់ និងយល់កាន់តែច្បាស់ ឬចង់ការពារ៖ សរសេរមកយើងតាមរយៈ rda@hrcsrl.it។ 

អ្នកប្រហែលជាចាប់អារម្មណ៍លើ Malware Post របស់យើង។

ការការពារការវាយប្រហារ ការចាក់ SQL

ដើម្បីបងា្ករការបញ្ចូលសំណួរតាមអំពើចិត្តលើកម្មវិធីគេហទំព័រទាំងនោះដែលមានអន្តរកម្មជាមួយ DB វាពិតជាមានសារៈប្រយោជន៍ក្នុងដំណាក់កាលអនុវត្តចំពោះកម្មវិធីដែលផ្តល់ការគ្រប់គ្រងច្រកចូលប្រើប្រាស់សក្តានុពលទាំងអស់ទៅកាន់បណ្ណសារគ្រប់គ្រងទិន្នន័យ ដូចជាទម្រង់បែបបទជាដើម។ ទំព័រស្វែងរក និងទម្រង់ផ្សេងទៀតដែលរួមបញ្ចូលសំណួរ SQL ។

សុពលភាពនៃធាតុចូល សំណួរដែលបានកំណត់តាមគំរូ និងការគ្រប់គ្រងគ្រប់គ្រាន់នៃការរាយការណ៍កំហុសអាចតំណាងឱ្យការអនុវត្តកម្មវិធីល្អដែលមានប្រយោជន៍សម្រាប់គោលបំណងនេះ។

នេះគឺជាគន្លឹះមួយចំនួន៖

• យកចិត្តទុកដាក់លើការប្រើប្រាស់ធាតុកូដ SQL ដែលអាចប្រថុយប្រថាន (សម្រង់តែមួយ និងតង្កៀប) ដែលអាចត្រូវបានរួមបញ្ចូលជាមួយតួអក្សរត្រួតពិនិត្យសមស្រប និងត្រូវបានទាញយកសម្រាប់ការប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត។
• ប្រើផ្នែកបន្ថែម MySQLi;
• បិទភាពមើលឃើញនៃទំព័រកំហុសនៅលើគេហទំព័រ។ ជារឿយៗព័ត៌មាននេះមានតម្លៃសម្រាប់អ្នកវាយប្រហារ ដែលអាចតាមដានអត្តសញ្ញាណ និងរចនាសម្ព័ន្ធរបស់ម៉ាស៊ីនមេ DB ដែលធ្វើអន្តរកម្មជាមួយកម្មវិធីគោលដៅ។

ផ្នែកបន្ថែម MySql

ការសរសេរកូដត្រឹមត្រូវអាចកាត់បន្ថយយ៉ាងសំខាន់នូវភាពងាយរងគ្រោះរបស់កម្មវិធីគេហទំព័រចំពោះការបញ្ចូល SQL បំពាន។ ដំណោះស្រាយដ៏ល្អគឺត្រូវប្រើផ្នែកបន្ថែម MySQLi (MySQL ប្រសើរឡើង) ក្នុងចំណោមបណ្ណាល័យដែលបង្កើតដោយ PHP សម្រាប់អន្តរកម្មជាមួយ MySQL ។

Mysqli, ដូចដែលឈ្មោះបានបង្ហាញ, ធ្វើឱ្យប្រសើរឡើងដល់ Mysql ជាពិសេសដោយផ្តល់នូវវិធីសាស្រ្តសរសេរកម្មវិធីពីរ:

• នីតិវិធី (ការប្រើប្រាស់មុខងារប្រពៃណី);
• ទិសដៅវត្ថុ (ការប្រើប្រាស់ថ្នាក់និងវិធីសាស្រ្ត) ។

វាក៏សំខាន់ផងដែរក្នុងការរក្សាកម្មវិធីរុករកដែលយើងប្រើដើម្បីប្រើប្រាស់អ៊ីនធឺណិតឱ្យទាន់សម័យ ហើយអាចដំឡើងឧបករណ៍វិភាគដែលមានសមត្ថភាពផ្ទៀងផ្ទាត់វត្តមាននៃភាពងាយរងគ្រោះនៅក្នុងកូដនៃគេហទំព័រ។

ការវាយតម្លៃសុវត្ថិភាព

វាគឺជាដំណើរការជាមូលដ្ឋានសម្រាប់វាស់កម្រិតសុវត្ថិភាពបច្ចុប្បន្នរបស់ក្រុមហ៊ុនអ្នក។
ដើម្បីធ្វើដូច្នេះបាន ចាំបាច់ត្រូវមានក្រុម Cyber ​​​​ដែលបានរៀបចំឱ្យបានគ្រប់គ្រាន់ អាចធ្វើការវិភាគអំពីស្ថានភាពរបស់ក្រុមហ៊ុនទាក់ទងនឹងសន្តិសុខព័ត៌មានវិទ្យា។
ការវិភាគអាចត្រូវបានអនុវត្តស្របគ្នា តាមរយៈការសម្ភាសន៍ដែលធ្វើឡើងដោយ Cyber ​​​​Team ឬ
អសមកាលផងដែរ ដោយបំពេញកម្រងសំណួរតាមអ៊ីនធឺណិត។

យើងអាចជួយអ្នក ទាក់ទងអ្នកឯកទេស HRC srl ដោយសរសេរទៅ rda@hrcsrl.it ។

ការយល់ដឹងអំពីសុវត្ថិភាព៖ ស្គាល់សត្រូវ

ជាង 90% នៃការវាយប្រហាររបស់ពួក Hacker ចាប់ផ្តើមដោយសកម្មភាពបុគ្គលិក។
ការយល់ដឹងគឺជាអាវុធដំបូងដើម្បីប្រយុទ្ធប្រឆាំងនឹងហានិភ័យតាមអ៊ីនធឺណិត។

នេះជារបៀបដែលយើងបង្កើត "ការយល់ដឹង" យើងអាចជួយអ្នក ទាក់ទងអ្នកឯកទេស HRC srl ដោយសរសេរទៅ rda@hrcsrl.it ។

ការរកឃើញ និងការឆ្លើយតបដែលបានគ្រប់គ្រង (MDR)៖ ការការពារចំណុចបញ្ចប់សកម្ម

ទិន្នន័យសាជីវកម្មមានតម្លៃដ៏ធំសម្បើមចំពោះឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ដែលជាមូលហេតុដែលចំណុចបញ្ចប់ និងម៉ាស៊ីនមេត្រូវបានកំណត់គោលដៅ។ វាពិបាកសម្រាប់ដំណោះស្រាយសន្តិសុខបែបប្រពៃណី ដើម្បីទប់ទល់នឹងការគំរាមកំហែងដែលកំពុងកើតឡើង។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតឆ្លងកាត់ការការពារកំចាត់មេរោគ ដោយទាញយកអត្ថប្រយោជន៍ពីអសមត្ថភាពរបស់ក្រុម IT ក្នុងការត្រួតពិនិត្យ និងគ្រប់គ្រងព្រឹត្តិការណ៍សុវត្ថិភាពជុំវិញនាឡិកា។

ជាមួយនឹង MDR របស់យើង យើងអាចជួយអ្នក ទាក់ទងអ្នកឯកទេស HRC srl ដោយសរសេរទៅ rda@hrcsrl.it ។

MDR គឺជាប្រព័ន្ធឆ្លាតវៃដែលតាមដានចរាចរណ៍បណ្តាញ និងធ្វើការវិភាគអាកប្បកិរិយា
ប្រព័ន្ធប្រតិបត្តិការ កំណត់អត្តសញ្ញាណសកម្មភាពគួរឱ្យសង្ស័យ និងមិនចង់បាន។
ព័ត៌មាននេះត្រូវបានបញ្ជូនទៅ SOC (មជ្ឈមណ្ឌលប្រតិបត្តិការសន្តិសុខ) ដែលជាមន្ទីរពិសោធន៍ដែលគ្រប់គ្រងដោយ
អ្នកវិភាគសុវត្ថិភាពតាមអ៊ីនធឺណិត ដែលមានវិញ្ញាបនប័ត្រសុវត្ថិភាពតាមអ៊ីនធឺណិតសំខាន់ៗ។
នៅក្នុងព្រឹត្តិការណ៍នៃភាពមិនប្រក្រតី SOC ដែលមានសេវាកម្មគ្រប់គ្រង 24/7 អាចធ្វើអន្តរាគមន៍ក្នុងកម្រិតនៃភាពធ្ងន់ធ្ងរផ្សេងៗគ្នា ចាប់ពីការផ្ញើអ៊ីមែលព្រមានរហូតដល់ការញែកអតិថិជនចេញពីបណ្តាញ។
នេះនឹងជួយទប់ស្កាត់ការគំរាមកំហែងដែលអាចកើតមាននៅក្នុងពន្លក និងជៀសវាងការខូចខាតដែលមិនអាចជួសជុលបាន។

ការត្រួតពិនិត្យគេហទំព័រសុវត្ថិភាព៖ ការវិភាគនៃគេហទំព័រងងឹត

គេហទំព័រងងឹតសំដៅលើខ្លឹមសារនៃវើលវ៉ាយវ៉េបនៅក្នុងបណ្តាញងងឹត ដែលអាចចូលទៅដល់តាមរយៈអ៊ីនធឺណិត តាមរយៈកម្មវិធីជាក់លាក់ ការកំណត់រចនាសម្ព័ន្ធ និងការចូលប្រើប្រាស់។
ជាមួយនឹងការត្រួតពិនិត្យគេហទំព័រសុវត្ថិភាពរបស់យើង យើងអាចការពារ និងទប់ស្កាត់ការវាយប្រហារតាមអ៊ីនធឺណិត ដោយចាប់ផ្តើមពីការវិភាគនៃដែនក្រុមហ៊ុន (ឧ.៖ ilwebcreativo.it ) និងអាសយដ្ឋានអ៊ីមែលបុគ្គល។

ទាក់ទងមកយើងដោយសរសេរទៅ rda@hrcsrl.it យើងអាចរៀបចំបាន។ ផែនការជួសជុលដើម្បីផ្តាច់ការគំរាមកំហែង ទប់ស្កាត់ការរីករាលដាលរបស់វា និង defiយើងចាត់វិធានការដោះស្រាយចាំបាច់។ សេវាកម្មនេះត្រូវបានផ្តល់ជូន 24/XNUMX ពីប្រទេសអ៊ីតាលី

CYBERDRIVE៖ កម្មវិធីសុវត្ថិភាពសម្រាប់ការចែករំលែក និងកែសម្រួលឯកសារ

CyberDrive គឺជាកម្មវិធីគ្រប់គ្រងឯកសារពពកដែលមានស្តង់ដារសុវត្ថិភាពខ្ពស់ ដោយសារការអ៊ិនគ្រីបដោយឯករាជ្យនៃឯកសារទាំងអស់។ ធានាសុវត្ថិភាពនៃទិន្នន័យសាជីវកម្ម ពេលកំពុងធ្វើការក្នុងពពក និងការចែករំលែក និងកែសម្រួលឯកសារជាមួយអ្នកប្រើប្រាស់ផ្សេងទៀត។ ប្រសិនបើការភ្ជាប់ត្រូវបានបាត់បង់ គ្មានទិន្នន័យត្រូវបានរក្សាទុកនៅលើកុំព្យូទ័ររបស់អ្នកប្រើទេ។ CyberDrive ការពារឯកសារពីការបាត់ដោយសារការខូចខាតដោយចៃដន្យ ឬត្រូវបានបណ្តេញចេញសម្រាប់ការលួច មិនថាវាជារូបវន្ត ឬឌីជីថល។

"The CUBE": ដំណោះស្រាយបដិវត្តន៍

មជ្ឈមណ្ឌលទិន្នន័យក្នុងប្រអប់តូចបំផុត និងមានឥទ្ធិពលបំផុតដែលផ្តល់ថាមពលកុំព្យូទ័រ និងការការពារពីការខូចខាតរូបវ័ន្ត និងឡូជីខល។ រចនាឡើងសម្រាប់ការគ្រប់គ្រងទិន្នន័យនៅក្នុងបរិស្ថានគែម និងរ៉ូបូ បរិយាកាសលក់រាយ ការិយាល័យវិជ្ជាជីវៈ ការិយាល័យដាច់ស្រយាល និងអាជីវកម្មខ្នាតតូច ដែលទំហំ ការចំណាយ និងថាមពលមានសារៈសំខាន់។ វាមិនតម្រូវឱ្យមានមជ្ឈមណ្ឌលទិន្នន័យ និងទូដាក់ឥវ៉ាន់ទេ។ វា​អាច​ដាក់​ទីតាំង​នៅ​ក្នុង​គ្រប់​ប្រភេទ​នៃ​បរិស្ថាន​ដោយ​សារ​សោភ័ណភាព​ដែល​ប៉ះ​ពាល់​ស្រប​នឹង​កន្លែង​ធ្វើការ។ « The Cube » ដាក់បច្ចេកវិទ្យាសូហ្វវែរសហគ្រាសនៅសេវាកម្មអាជីវកម្មខ្នាតតូច និងមធ្យម។

ទាក់ទងមកយើងដោយសរសេរទៅ rda@hrcsrl.it ។

អ្នកប្រហែលជាចាប់អារម្មណ៍លើ Man in the Middle post របស់យើង។

Ercole Palmeri៖ ញៀនការច្នៃប្រឌិត

[ultimate_post_list id=”12982″]