|
|
инъекция SQL
1. Вид эксплойта, в котором атакующий добавляет SQL код (Structured Query Language) ко входному боксу Web формы для получения доступа к ресурсу или для модификации данных. Например, при заполнении полей «имя» и «пароль» Web формы аутентификации выполняется запрос к базе данных. Если при этом Web форма не содержит механизмов, позволяющих блокировать ввод любых типов данных, корме имен и паролей, то атакующий может использовать входной бокс для отправки своего запроса к базе данных с целью получения данных из нее, или же выполнения каких-либо других запрещенных операций [ Whatis.com ]. 2. Использует уязвимость базы данных на прикладном уровне. В результате неправильной фильтрации пользовательских входных данных приложение может выполнить любой SQL запрос [ Wikipedia ]. 3. Один из распространенных способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода. Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. Основана на некорректной обработке входных данных, используемых в SQL-запросах [ Википедия ].
[http://www.glossary.ib-bank.ru/solution/1] |
|
EN |
|
|
FR |
|
|
Тематики
- информационная безопасность
|
