Start » Zagrożenia » Atak typu SQL-injection

Atak typu SQL-injection

SQL Injection jest techniką atakowania bazy danych poprzez stronę internetową. Podatność strony na ten rodzaj ataku wynika z nieprawidłowego interpretowania danych wprowadzonych przez użytkownika. W przypadku braku odpowiedniego przetwarzania danych wejściowych przez skrypty lub aplikacje, włamywacz może zmusić stronę do wykonania złośliwego zapytania SQL i dokonać w ten sposób następujących czynności:
  • odczytać poufne informacje z bazy danych takie jak loginy i hasła użytkowników
  • zmodyfikować zawartość bazy, np. dodać lub usunąć użytkownika
  • uzyskać dostęp do zawartości plików, w tym również plików z loginami i hasłami użytkowników
  • wykonywać polecenia w systemie operacyjnym
System SiteDefensor przechowuje w sposób bezpieczny loginy, hasła i sesje użytkowników w dedykowanej, nierelacyjnej bazie danych. Nawet w przypadku, gdy skrypty serwisu internetowego są podatne na atak typu SQL Injection, włamywacz nie będzie mógł uzyskać dostępu do danych użytkowników. W każdym przypadku konieczne jest natomiast odpowiednie zabezpieczenie relacyjnej bazy danych, aby uniemożliwić odczytanie plików oraz wykonywanie poleceń w systemie operacyjnym. W tym celu polecamy usługę Testów Bezpieczeństwa FINESEC, w ramach której realizujemy również kompleksowe zabezpieczanie baz danych.
 
Copyright © 2011-2015 FINESEC Sp. z o.o.
projekt i wykonanie: webmania.pl