SQL injection гэгддэг үр дагавар нь вэб програмын аюулгүй байдлын чухал сул тал юм. Энэ нь халдагчид вэб програмын өгөгдлийн сангийн асуулгын оролтыг удирдаж, дурын SQL командуудыг гүйцэтгэх боломжтой болсон үед тохиолддог. Энэхүү эмзэг байдал нь мэдээллийн санд хадгалагдсан нууц өгөгдлийн нууцлал, бүрэн бүтэн байдал, хүртээмжтэй байдалд ноцтой аюул учруулж байна.
Үргэлжлэл тарилга нь яагаад чухал эмзэг байдгийг ойлгохын тулд эхлээд вэб програм дахь мэдээллийн сангийн үүргийг ойлгох нь чухал юм. Мэдээллийн сангууд нь хэрэглэгчийн итгэмжлэл, хувийн мэдээлэл, санхүүгийн бүртгэл гэх мэт вэб програмын өгөгдлийг хадгалах, сэргээхэд ихэвчлэн ашиглагддаг. Өгөгдлийн сантай харилцахын тулд вэб програмууд асуулга үүсгэх, гүйцэтгэхэд Structured Query Language (SQL) ашигладаг.
Үргэлжлэл тарилга нь вэб програмын буруу оролт баталгаажуулалт эсвэл ариутгалын давуу талыг ашигладаг. Хэрэглэгчийн оруулсан оролтыг зохих ёсоор баталгаажуулаагүй эсвэл ариутгаагүй тохиолдолд халдагчид хортой SQL кодыг асуулгад оруулж улмаар өгөгдлийн сангаар гүйцэтгэхэд хүргэдэг. Энэ нь нууц мэдээлэлд зөвшөөрөлгүй хандах, өгөгдөл боловсруулах, бүр үндсэн серверийг бүрэн эвдэх зэрэг олон төрлийн хортой үр дагаварт хүргэж болзошгүй юм.
Жишээлбэл, хэрэглэгчийн нэр, нууц үгийг хүлээн зөвшөөрдөг нэвтрэх маягтыг авч үзье. Хэрэв вэб програм нь оролтыг зохих ёсоор баталгаажуулаагүй эсвэл ариутгаагүй бол халдагч SQL асуулгын үйлдлийг өөрчлөх хортой оролт үүсгэж болно. Халдагчид дараах зүйлийг оруулж болно:
' OR '1'='1' --
Энэхүү оролтыг SQL асуулгад оруулах үед асуулга үргэлж үнэн гэж үнэлэгдэж, баталгаажуулалтын механизмыг үр дүнтэй алгасч, халдагчдад системд зөвшөөрөлгүй нэвтрэх боломжийг олгоно.
Үргэлжлэл тарилгын халдлага нь вэб програмын аюулгүй байдалд ноцтой нөлөө үзүүлж болно. Эдгээр нь хэрэглэгчийн мэдээлэл, санхүүгийн бүртгэл, оюуны өмч гэх мэт нууц мэдээллийг зөвшөөрөлгүй задруулахад хүргэж болзошгүй юм. Тэд мөн өгөгдлийн заль мэхийг үүсгэж, халдагчид мэдээллийн санд хадгалагдсан өгөгдлийг өөрчлөх эсвэл устгах боломжтой. Цаашилбал, дарааллын тарилга нь давуу эрх нэмэгдүүлэх, алсын зайнаас код гүйцэтгэх, эсвэл бүр үндсэн серверийн бүрэн эвдрэл зэрэг цаашдын халдлагад зориулсан шат болгон ашиглаж болно.
Цаашид тарилгын эмзэг байдлыг багасгахын тулд оролтыг баталгаажуулах, ариутгах арга техникийг зөв хэрэгжүүлэх нь маш чухал юм. Үүнд параметржүүлсэн асуулга эсвэл SQL кодыг хэрэглэгчийн оруулсан оролтоос тусгаарладаг бэлтгэсэн мэдэгдлүүдийг ашиглах орно. Нэмж дурдахад, зөвхөн хүлээгдэж буй, хүчинтэй оролтыг боловсруулахын тулд оролтын баталгаажуулалт, ариутгалыг сервер талд хийх ёстой.
Үргэлжлэл тарилга нь нууц өгөгдлийн нууцлал, бүрэн бүтэн байдал, хүртээмжийг алдагдуулж болзошгүй тул вэб програмын аюулгүй байдлын чухал сул тал юм. Энэ нь хортой SQL кодыг оруулахын тулд буруу оролтын баталгаажуулалт эсвэл ариутгалыг ашигладаг бөгөөд халдагчдад мэдээллийн сан дээр дурын тушаалуудыг гүйцэтгэх боломжийг олгодог. Энэхүү эмзэг байдлыг багасгах, вэб программуудыг дараагийн тарилгын халдлагаас хамгаалахад зөв оролт баталгаажуулах, ариутгах арга техникийг хэрэгжүүлэх нь чухал юм.
Сүүлийн үеийн бусад асуулт, хариулт EITC/IS/WASF вэб програмын аюулгүй байдлын үндэс:
- Татаж авах мета өгөгдлийн хүсэлтийн толгой хэсэг гэж юу вэ, тэдгээрийг ижил гарал үүсэл болон сайт хоорондын хүсэлтийг хооронд нь ялгахад хэрхэн ашиглах вэ?
- Итгэмжлэгдсэн төрлүүд вэб програмын халдлагыг хэрхэн багасгаж, аюулгүй байдлын үнэлгээг хялбарчлах вэ?
- Итгэмжлэгдсэн төрлүүдийн өгөгдмөл бодлогын зорилго нь юу вэ, үүнийг аюулгүй бус мөрийн хуваарилалтыг тодорхойлоход хэрхэн ашиглах вэ?
- Итгэмжлэгдсэн төрлүүдийн API ашиглан итгэмжлэгдсэн төрлүүдийн объектыг үүсгэх процесс юу вэ?
- Агуулгын аюулгүй байдлын бодлого дахь итгэмжлэгдсэн төрлүүдийн заавар нь DOM-д суурилсан сайт хоорондын скриптийн (XSS) эмзэг байдлыг багасгахад хэрхэн тусалдаг вэ?
- Итгэмжлэгдсэн төрлүүд гэж юу вэ, вэб программ дахь DOM-д суурилсан XSS-ийн эмзэг байдлыг хэрхэн шийдвэрлэх вэ?
- Агуулгын аюулгүй байдлын бодлого (CSP) нь сайт хоорондын скриптийн (XSS) эмзэг байдлыг багасгахад хэрхэн туслах вэ?
- Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) гэж юу вэ, түүнийг халдагчид хэрхэн ашиглах вэ?
- Вэб програмын XSS эмзэг байдал нь хэрэглэгчийн мэдээллийг хэрхэн эвддэг вэ?
- Вэб аппликешнүүдэд нийтлэг тохиолддог хоёр үндсэн эмзэг байдлын ангилал юу вэ?
EITC/IS/WASF Вэб Програмын Аюулгүй байдлын үндэс хэсгээс илүү олон асуулт, хариултыг харна уу