SQL-инъекция | Атака | Система безопасности

Выявление и эксплуатация SQL-инъекций в приложениях

SQL-инъекция – это атака, при которой злоумышленником производится вставка вредоносного кода в строки, передающиеся на сервер СУБД для синтаксического анализа и выполнения. Успешная реализация данной атаки позволяет обойти систему безопасности приложения и получить доступ к конфиденциальной информации, которая содержится в БД, а также к функциональным возможностям СУБД и в некоторых случаях – доступ к операционной системе сервера, на котором функционирует СУБД.

Как следствие, злоумышленник получает доступ к конфиденциальной информации, содержащейся в БД, и доступ к командам операционной системы сервера СУБД, тем самым делая его плацдармом для последующих атак других серверов и приложений, расположенных в корпоративной сети организации.

Как правило, SQL-инъекции рассматривают применительно к web-приложениям, на самом деле данным уязвимостям подвержены любые клиент-серверные и сервис-ориентированные приложения, работающие с СУБД.

Выявление-и-эксплуатация-SQL-инъекций-в-приложениях

Загрузить документ