Analiza statycznych metod obrony przed atakami SQL Injection

W artykule zaprezentowano analizę podatności systemów bazodanowych na ataki typu SQL Injection. Praca rozpoczyna się od przedstawienia charakterystyki analizowanego ataku w kontekście baz danych. Bazy danych, pomimo kluczowego znaczenia w infrastrukturze wszelakich systemów odznaczają się niedostatecznym poziomom zabezpieczeń, co w konsekwencji może prowadzić do poważnych strat.
Podstawowym zagrożeniem są ataki SQL Injection, na które obecnie nie występują zewnętrzne mechanizmy obrony. W tym celu zostało zaproponowane rozwiązanie zabezpieczające systemy bazodanowe polegające na odpowiednim przygotowaniu kodu, który obsługuje dynamiczne zapytania do bazy danych. Testy wykazały dużą skuteczność zabezpieczeń przed aktualnie znanymi atakami SQL Injection. Artykuł adresowany jest do administratorów baz danych w szczególności na potrzeby usług webowych.

Pełny tekst (pdf)

[1] http://www.hackmageddon.com/2016/01/11/2015-cyber-attacks-statistics/ [dostęp:4 marca 2016 r.].
[2] Sadeghian A; Zamani M; Ibrahim S.: SQL Injection is Still Alive:A Study on SQL Injection Signature Evasion Techniques. Advanced Informatics School Universiti Teknologi Malaysia, Kuala Lumpur, Malaysia, 2013.
[3] Clarke J.: SQL Injection Attacks and Defense, Syngress Publishing, Inc., Burlington 2012.
[4] https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005) [dostęp: 4 marca 2016 r.].
[5] https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf [dostęp: 6 marca 2016 r.].
[6] https://github.com/sqlmapproject/sqlmap [dostęp: 6 marca 2016 r.].