Tấn công SQL Injection

Một phần của tài liệu 564 Thực trạng & Giải pháp cho vấn đề an toàn & bảo mật trong thương mại điện tử (Trang 75 - 76)

IV. Những hình thức tấn công 1 Tấn công từ chối dịch vụ DOS

3. Tấn công SQL Injection

SQL Injection là một trong những lỗ hổng bảo mật nằm ngay tại ứng dụng SQL, một ngôn ngữ truy vấn được dùng trong cơ sở dữ liệu. Thông thường, khi người quản trị triển khai các ứng dụng Web trên Internet, họ vẫn nghĩ rằng việc bảo đảm an toàn, bảo mật chỉ tập trung vào các vấn để như hệ điều hành, hệ quản trị cơ sở dữ liệu, hay các Webserver chạy ứng dụng, mà họ quên mật là ngay bản thân các ứng dụng mà hệ thống đang sử dụng cũng tiềm ẩn các lỗ hổng bảo mật.

Hiện nay, tại Việt Nam, vấn đề lỗ hổng bảo mật SQL Injection chưa được quan tâm đúng mức. Thông thường, đối với các nhà quản trị website thì hiện nay họ chỉ quan tâm đến việc quét virus, cập nhật các phiên bản mới nhất. Còn đối với các lỗ hổng đến từ các ứng dụng ít được quan tâm hơn. Đó cũng là lý do vì sao mà trong thời gian gần đây, không ít các website tại Việt Nam bị tấn công và đa số đều là lỗi SQL Injection.

SQL Injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trên các ứng dụng web, thông báo lỗi của hệ quản trị cơ sở dữ liệu để thêm vào và thi hành các câu lệnh SQL bất hợp pháp.

Hậu quả của tấn công SQL Injection là rất lớn, vì nó cho phép những kẻ tấn công thực hiện các thao tác xóa, hiệu chỉnh… Do đó, hacker có toàn quyền trên cơ sở dữ liệu của ứng dụng, thậm chí là server mà ứng dụng đó đang chạy. Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle hay Sysbase.

Các dạng tấn công bằng SQL Injection: - Tấn công vượt qua kiểm tra đăng nhập. - Sử dụng câu lệnh Select.

- Sử dụng câu lệnh Insert.

- Sử dụng các stored – procedures.

Một phần của tài liệu 564 Thực trạng & Giải pháp cho vấn đề an toàn & bảo mật trong thương mại điện tử (Trang 75 - 76)

Tải bản đầy đủ (DOC)

(86 trang)
w