Biasanya aplikasi web menyediakan interface pengguna kepada input maklumat.
input pengguna adalah terus digunakan untuk tujuan yang mana salah satunya adalah untuk query database.Input pengguna sebagai sebahagian daripada penyata SQL akan disempurnakan pada RDBMS. SQL injection akan cuba input data itu melalui database pengguna aplikasi web yang akan memberikan pengguna yg berniat jahat utk dapatkan maklumat sensitif, mengedit / mengubah suai data yang dilindungi atau crash keseluruhannya dan lain-lain sistem.Dalam senario kes terburuk pengguna berniat jahat dapat menembusi lagi ke dalam rangkaian dengan menjejaskan keselamatan mesin host database.
Terdapat empat kategori utama serangan Suntikan SQL terhadap database:
1. Manipulasi SQL: manipulasi proses mengubah suai penyata SQL dengan
menggunakan operasi pelbagai seperti UNION. Satu lagi cara untuk melaksanakan SQL
injection dgn menggunakan SQL kaedah Manipulasi dengan menukar fasal di mana
Pernyataan SQL untuk mendapatkan keputusan yang berbeza-beza.
2. Suntikan Code: Kod suntikan adalah proses memasukkan penyata SQL baru atau
arahan pangkalan data(database) ke dalam penyata SQL yang terdedah. Salah satu suntikan kod serangan adalah untuk menambah Server SQL MELAKSANAKAN perintah SQL yg mendedah pernyataan itu. Jenis serangan ini hanya mungkin apabila pelbagai kenyataan SQL satu permintaan pangkalan data yang disokong.
3. Suntikan Call Injection: Fungsi panggilan suntikan adalah proses memasukkan pelbagai fungsi pangkalan data panggilan ke dalam satu kenyataan SQL terdedah. Fungsi panggilan-panggilan boleh membuat panggilan sistem operasi atau memanipulasi data dalam pangkalan data.
4. Limpahan Penimbal: limpahan Penimbal adalah disebabkan dengan menggunakan suntikan panggilan fungsi. untuk kebanyakan pangkalan data komersil dan sumber terbuka, patch yang disediakan. ini jenis serangan adalah didapati apabila pelayan adalah tidak diperbaiki.
input pengguna adalah terus digunakan untuk tujuan yang mana salah satunya adalah untuk query database.Input pengguna sebagai sebahagian daripada penyata SQL akan disempurnakan pada RDBMS. SQL injection akan cuba input data itu melalui database pengguna aplikasi web yang akan memberikan pengguna yg berniat jahat utk dapatkan maklumat sensitif, mengedit / mengubah suai data yang dilindungi atau crash keseluruhannya dan lain-lain sistem.Dalam senario kes terburuk pengguna berniat jahat dapat menembusi lagi ke dalam rangkaian dengan menjejaskan keselamatan mesin host database.
Terdapat empat kategori utama serangan Suntikan SQL terhadap database:
1. Manipulasi SQL: manipulasi proses mengubah suai penyata SQL dengan
menggunakan operasi pelbagai seperti UNION. Satu lagi cara untuk melaksanakan SQL
injection dgn menggunakan SQL kaedah Manipulasi dengan menukar fasal di mana
Pernyataan SQL untuk mendapatkan keputusan yang berbeza-beza.
2. Suntikan Code: Kod suntikan adalah proses memasukkan penyata SQL baru atau
arahan pangkalan data(database) ke dalam penyata SQL yang terdedah. Salah satu suntikan kod serangan adalah untuk menambah Server SQL MELAKSANAKAN perintah SQL yg mendedah pernyataan itu. Jenis serangan ini hanya mungkin apabila pelbagai kenyataan SQL satu permintaan pangkalan data yang disokong.
3. Suntikan Call Injection: Fungsi panggilan suntikan adalah proses memasukkan pelbagai fungsi pangkalan data panggilan ke dalam satu kenyataan SQL terdedah. Fungsi panggilan-panggilan boleh membuat panggilan sistem operasi atau memanipulasi data dalam pangkalan data.
4. Limpahan Penimbal: limpahan Penimbal adalah disebabkan dengan menggunakan suntikan panggilan fungsi. untuk kebanyakan pangkalan data komersil dan sumber terbuka, patch yang disediakan. ini jenis serangan adalah didapati apabila pelayan adalah tidak diperbaiki.
Credit to : Tsmalaysia and Silent Hackers
0 comments:
Post a Comment