Scribd
Upload
47 views3 pages

SQL Injections

Uploaded by

Selena
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd
47 views3 pages

SQL Injections

Uploaded by

Selena
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as DOCX, PDF, TXT or read online on Scribd

SQL injections

Stojković Selena

Prirodno-matematički fakultet, Novi Sad


Selena Stojkovic, SQL injections

Šta je SQL injection?


SQL Injection (SQLi) je tehnika koja omogućava napadačima da ubace zlonameran SQL kod u
SQL upit koji se izvršava na serveru baze podataka. Ova ranjivost se javlja kada se korisnički
unos u SQL upitu ne proverava ispravno, što može dovesti do izvršavanja neovlašćenog koda,
prikupljanja osetljivih informacija ili čak uništavanja podataka.
SQL Injection napadi su vrlo opasni i mogu dovesti do otkrivanja osetljivih informacija, kao
što su korisnički imena, lozinke i finansijski podaci. Takođe, napadači mogu izvršavati
zlonamerne radnje, poput dodavanja novih korisnika, brisanja podataka ili čak preuzimanja
kontrole nad celom bazom podataka.

Šta je ishod uspešnog SQL injection napada?


Uspešan SQL injection napad može dovesti do neovlašćenog pristupa osetljivim podacima,
poput lozinki, podataka o kreditnim karticama ili ličnih informacija korisnika. Mnogi
visokoprofilni slučajevi krađe podataka u poslednjih nekoliko godina su posledica SQL
injection napada. U nekim slučajevima, napadač može dobiti trajni pristup u sistem
organizacije, što dovodi do dugoročne kompromitacije koja može proći nezapaženo tokom
dužeg vremenskog perioda.

Vrste SQL injection napada


Postoji nekoliko načina na koje se SQL Injection napadi mogu sprovesti, uključujući "union"
napade, "blind" napade i "error-based" napade.

1. U "union" napadima, napadač ubacuje "union" naredbu u SQL upit kako bi spojio dva
upita i dobio rezultate iz oba.
2. U "blind" napadima, napadač koristi boolean upite kako bi testirao da li je određeni

uslov tačan ili netačan.


3. U "error-based" napadima, napadač koristi SQL greške koje se prikazuju korisniku kako
bi došao do informacija.

2
Selena Stojkovic, SQL injections

Kako se zaštititi od SQL injection napada


Da bi se zaštitili od SQL Injection napada, važno je validirati korisnički unos, kao i ograničiti
prava korisnika bazi. Takođe je preporučljivo koristiti parametrizovane upite i kriptovati
osetljive podatke.

Najpoznatiji SQL injection napadi

napad godina posledice


Napad na Heartland 2008 napad koji je rezultirao krađom informacija o
Payment Systems kreditnim karticama od više od 130 miliona
korisnika.

Napad na Sony Pictures 2011 napad koji je doveo do krađe informacija o


kreditnim karticama i ličnim podacima zaposlenih i
partnera Sony Pictures-a.

Napad na Target 2013 napad koji je doveo do krađe informacija o


kreditnim karticama i ličnim podacima više od 40
miliona korisnika.

Napad na Ashley Madison 2015 napad koji je doveo do krađe informacija o ličnim
podacima korisnika ove stranice za spajanje
partnera.

Napad na Equifax 2017 napad koji je doveo do krađe informacija o ličnim


podacima više od 145 miliona korisnika, uključujući
podatke o kreditnim karticama i socijalnom
osiguranju.

You might also like