Tofotofoga Mo Vasega Faʻaleagaina o Injection

SQL O osofaiga o tui e mafua ai le tele o lamatiaga i luga o 'upega tafaʻilagi e faʻalagolago i luga o se faʻamaumauga i luga o faʻamaumauga e faʻavae ai faʻamatalaga mamana. I lenei ituaiga osofaiga, e faʻaaogaina ai e tagata taʻavale se 'upega tafaʻilagi i se taumafaiga e tuiina a latou lava tulafono SQL i totonu o faʻasalalauga. Mo se faʻataʻitaʻiga, tagaʻi i le tusitusiga SQL Attack Attack on Databases. I lenei tusiga, matou te tilotilo i ni auala e mafai ai ona e suʻeina au 'upega tafaʻilagi e fuafua ai pe latou te ono faʻafitauli i osofaʻiga o tui tui.

Faʻataʻitaʻiina o le tuiina o le SQL SQL

O se tasi o avanoa o le faʻaaogaina lea o se masini masini komipiuta eletise, e pei o le WebInspect a le HP, IBM's AppScan poʻo le Cenzic's Hailstorm. O nei meafaigaluega uma e ofoina atu faigofie, auala faʻapitoa e faʻamalamalama ai au 'upega tafaʻilagi mo le ono mafai ona tuʻuina atu vulnerability SQL. Ae ui i lea, latou te taugata tele, e oʻo atu i le $ 25,000 i le nofoa.

Suʻega o le tuiina o le SQL Manual

O le a le leaga o le tagata talosaga mo le faia o mea? E mafai ona e suʻeina nisi o suʻega suʻega e iloilo ai au 'upega tafaʻilagi mo le SQL Injection vulnerabilities e aunoa ma se mea e sili atu nai lo se upega tafaʻilagi. Muamua, o se upu lapatai: o suega ou te faamatalaina na o le sueina o sese sese o Injection. Latou te le mauaina ni metotia faʻalauiloa ma e sili ona taua le faʻaaogaina. Afai e mafai ona e gafatia, alu faʻatasi ma se masini masini. Ae peitaʻi, afai e le mafai ona e taulimaina le tau o le tau, o le suʻeina o tusi lesona o se laʻasaga sili muamua.

O le auala pito sili ona faigofie e iloilo ai pe o se talosaga e faigofie tele, o le faʻataʻitaʻiina lea o osofaiga o le tui puipui e le afaina ai lau database pe afai latou te manuia ae o le a tuʻuina atu ia oe faʻamaoniga e tatau ona e foia se faafitauli. Mo se faʻataʻitaʻiga, masalo na i ai sau polokalama uepi faigofie lea e tepa aʻe ai se tagata i totonu o faʻamaumauga ma tuʻuina atu faʻamatalaga faʻamatalaga o se taunuuga. O lena itulau atonu e faʻaaogaina le faʻafanua URL lenei:

http://myfakewebsite.com/directory.asp?lastname=chapple&firstname=mike

E mafai ona tatou manatu o lenei itulau o loʻo faia se faʻamatalaga tuʻufaʻamatalaga, e faʻaaoga ai se fesili e tutusa ma mea nei:

VAEGA telefoni mai LE ATUA WHERE ua faaigoaina = 'pusa' ma muamuaname = 'mike'

Tatou faataitai i lenei mea. Faatasi ai ma lo tatou talitonuga i luga, e mafai ona tatou faia se suiga faigofie i le URL o suʻega mo osofaʻiga tui a le SQL:

http://myfakewebsite.com/directory.asp?lastname=chapple&firstname=mike'+AND+(select+count(*)+from+fake)+%3e0+OR+'1'%3d'1

Afai e leʻi puipuia lelei le initaneti mai le iniseti SQL, e faigofie lava ona ia puʻeina lenei igoa faalilolilo i totonu o le faʻamatalaga SQL lea e faʻatatau i le database, ma mafua ai:

Filifili le telefoni MAI LE ATUA WHERE e faaigoa = 'le' uila 'ma le igoa muamua =' mike 'MA (filifili count (*) mai se mea pepelo) 0 0 LE' 1 '=' 1 '

O le a e maitauina o le upusii o loʻo i luga o se mea e ese mai nai lo lena i le uluai URL. Na ou faaaogaina le saolotoga o le faaliliuina o le fesuiaiga o le URL mo le latou ASCII tutusa ina ia faafaigofie ai ona mulimuli i le faataitaiga. Mo se faʻataʻitaʻiga,% 3d le faʻaogaina o URL mo le '=' amio. Na ou faaopoopoina foi ni laina mo laina tutusa.

Iloiloina o Suʻe

O le suʻega e oʻo mai pe a e taumafai e uta le 'upega tafaʻilagi ma le URL o loʻo lisi atu i luga. Afai o le 'upega tafailagi' oloʻo amio lelei, o le a faʻateʻa ese ia upusii taʻitasi mai le faʻasoa ao leʻi pasia le fesili i le database. O lenei mea o le a iu lava i se sailiga ese mo se tasi ei ai lona igoa muamua e aofia ai se tuufaatasiga o SQL! O le ae vaaia se savali sese mai le talosaga e tutusa ma le tasi o loo i lalo:

Faʻasalaga: Leai se tagata e maua le igoa mike + MA + (filifili + count (*) + mai le faʻamatalaga) +% 3e0 + OR + 1% 3d1 Paʻa!

I le isi itu, afai o le talosaga e faigofie ona tuʻuina atu i le iniseti o SQL, o le a pasi saʻo atu le faʻamatalaga i le 'aufaʻamaumauga, ma maua ai se tasi o mea e lua. Muamua, afai e faʻamaonia au faʻamatalaga sese (e le tatau ona e faia!), O le ae iloa se mea faʻapenei:

Microsoft OLE DB Tuuina atu o le 'ODBC Drivers error' 80040e37 '[Microsoft] [ODBC SQL Server Driver] [SQL Server] Suafa igoa le aoga' fake '. /directory.asp, laina 13

I le isi itu, afai e le faʻaalia e lau 'upega tafailagi faʻamatalaga sese, o le ae mauaina se faʻateleina mea sese, e pei o:

Faʻasonuga o le Faʻasonu i Totonu Sa feagai le server ma se faʻasalalauga i totonu poʻo le le faʻasalalauina ma ua le mafai ona faʻatumu lau talosaga. Faʻamolemole faʻafesoʻotaʻi le pule o le server e faʻamatalaina le taimi na tupu ai le mea sese ma o soʻo se mea atonu na e faia na ono tupu ai le mea sese. E tele faʻamatalaga e uiga i lenei mea sese atonu e maua i totonu o le log server.

Afai e te mauaina se tasi o mea sese e lua i luga, o lau talosaga e faigofie ona osofaia osofaʻiga tui a le SQL! O nisi laasaga e mafai ona e faia e puipui ai au talosaga e faasaga i osofaiga a le SQL Injection e aofia ai:

• Faʻaauau le siakiina o faʻamalosaga i luga o talosaga uma. Mo se faʻataʻitaʻiga, afai o loʻo e fai atu i se tasi e ulufale mai i se numera o le tagata faʻatau, ia mautinoa ia numera le initaneti ao lei faia le fesili .
• Faatapulaa faʻatagaga o le teugatupe e faʻatautaia ai fesili ole SQL . O le tulafono o le itiiti ifo o avanoa e faʻaaogaina. Afai o le faʻamatalaga na faʻaaoga e faʻatino ai le fesili e leai se faʻatagaga e faʻatino ai, o le a le manuia!
• Faʻaaogā taualumaga faʻapipiʻi (poʻo ni faʻatusa tali tutusa) e puipuia ai tagata faʻaoga mai fesoʻotaʻiga tuusaʻo ma le code code.