|
یک حمله ی تزریق SQL (SQL Injection) شامل وارد کردن و یا تزریق (injection) یک جستجوی SQL از طریق اطلاعات ورودی از سوی کاربر به برنامه می باشد. یک بهره برداری (exploit) موفق تزریق SQL می تواند اطلاعات حساس را از بانک اطلاعات بخواند، اطلاعات را تغییر دهد (Insert/Update/Delete)، عملیات مدیریتی بر روی بانک اطلاعاتی اجرا کند (مانند خاموش کردن DBMS)، محتویات یک فایل بر روی سیستم فایل DBMS را بازیابی کند و در برخی حالات فرمان هایی را برای سیستم عامل صادر کند. حملات تزریق SQL گونه ای از حملات تزریقی هستند که در ان دستورات SQL داخل ورودی، قطار- اطلاعات تزریق می شوند تا بر روی اجرای دستورات از پیش تعیین شده ی SQL تاثیر بگذارند.
تزریق SQL یک تکنیک تزریق کد است که یک اسیب پذیری امنیتی که در لایه بانک اطلاعاتی یک برنامه رخ می دهد را اکسپلویت می کند.
تزریق SQL یکی از قدیمی ترین حملات علیه برنامه های تحت وب می باشد.
این اسیب پذیری هنگامی وجود دارد که کاراکتر های escape رشته های لیترال جاسازی شده در جملات SQL به شکل نادرستی از ورودی کاربر فیلتر شده باشد و یا ورودی کاربر طبقه بندی نشده باشد و در نتیجه به صورت غیر منتظره اجرا می شود. این یک نمونه از کلاس جامعی از اسیب پذیری هاست که هنگامی رخ می دهند که برنامه نویسی و یا زبان اسکریپت نویسی در داخل دیگری جاسازی شده اند...
برای جزییات بیشتر می توانید لینک زیر را مشاهده کنید... |
مقالات
