Žodis angliškai:
Structured Query Language injection
Santrumpa:
SQLi
Žodis lietuviškai:
SQL injekcija
Apibrėžimas:
SQL injekcija vienas dažniausių internetinių svetainių, turinčių duomenų bazes, įsilaužimo būdų. Šis metodas gali būti naudojamas informacijos iš duomenų bazės ištraukimui, arba duomenų bazės turinio keitimui. SQL injekcija yra vykdoma įterpiant į web įvesties lauką tam tikrą SQL formuluotę, kuri priverstų duomenų bazę išduoti norimą informaciją ar įvykdytų kenkėjiško vartotojo nurodytą veiksmą. Nors SQL injekcija dažniausiai yra naudojama atakose prieš interneto svetaines, tačiau taip pat gali būti panaudota prieš bet kokią SQL duomenų bazę.
SQL injekcijos tipo ataka yra laikoma viena iš 10 labiausiai grėsmingų atakų nukreiptų prieš web aplikacijas 2007-2010 metų laikotarpyje. Priklausomai nuo techninių aspektų yra skirstomos 5 SQL injekcijos sub-klasės:
- Klasikinė SQL injekcijos ataka (Classic SQLIA);
- Išvadinė SQL injekcijos (Inference SQL Injection);
- Manipuliavimas SQL injekcijomis (Interacting with SQL Injection);
- Į specifinę duomenų bazės valdymo sistemą orientuota SQL injekcijos ataka (DBMS specific SQLIA);
- Mišri SQL injekcijos ataka (Compound SQLIA).
Taip pat įmanomos įvairios SQL injekcijų apjungimų su kitais atakų tipais apjungimai:
- SQL injekcija + Neefektyvus autetifikavimas (SQL Injection + Insufficient authentication);
- SQL injekcija + Paskirstyto atsisakymo aptarnauti ataka (SQL Injection + DDoS attacks);
- SQL injekcija + DNS perėmimas (SQL Injection + DNS Hijacking);
- SQL injekcija + XSS (SQL Injection + XSS).
Atviro kodo SQL injekcijų pažeidžiamumams nustatyti naudojami įrankiai:
- wpoison;
- sqlmap;
- wapiti;
- w3af;
- paros;
- squid.
Naudota literatūra:
https://www.owasp.org/index.php/SQL_injection