Преглед садржаја:
Дефиниција - Шта значи СКЛ убризгавање?
СКЛ ињекција је компјутерски напад у коме се злонамерни код уграђује у лоше дизајнирану апликацију и затим прослеђује у резервну базу података. Злонамјерни подаци тада производе резултате или радње упита базе података које никада не би требало да се извршавају.
Тецхопедиа објашњава СКЛ убризгавање
Идемо кроз пример напада СКЛ убризгавања:
Апликација која покреће пословање банке садржи меније који се могу користити за тражење детаља о клијенту користећи тачке података као што су број корисника социјалног осигурања. У позадини апликација позива СКЛ упит који се покреће у бази података тако што уноси вредности унесене на следећи начин:
СЕЛЕЦТ име клијента, телефон, адреса, датум_ рођења ВХЕРЕ социал_сец_но = 23425
У овом узорку скрипте, корисник уноси вриједност 23425 у прозору изборника апликације, захтијевајући од корисника да унесе број социјалног осигурања. Затим, користећи вриједност коју пружа корисник, СКЛ упит покреће се у бази података.
Корисник са СКЛ знањем може да разуме апликацију и уместо да унесе једну вредност када се затражи број социјалног осигурања, унесе низ „23425 или 1 = 1“, који се прослеђује у базу података на следећи начин:
СЕЛЕЦТ име клијента, телефон, адреса, датум_ рођења ВХЕРЕ социал_сец_но = 23425 или 1 = 1
Клаузула ВХЕРЕ је важна јер уводи рањивост. У бази података је увјет 1 = 1 увијек истинит, а будући да је упит наведен за враћање детаља клијентског броја социјалног осигурања (23425) или ГДЈЕ 1 = 1, упит ће вратити све редове у табели, који нису били првобитна намера.
Горњи пример напада СКЛ убризгавања је једноставан, али показује како искоришћавање рањивости за превару апликације у покретање упита или команде за надокнаду базе података.
Напади СКЛ убризгавања могу се ублажити осигуравањем правилног дизајна апликација, посебно у модулима који захтевају корисничко уношење за покретање упита или наредби базе података. У горњем примеру, апликација се може променити тако да прихвата само једну нумеричку вредност.
