Elektrotechnika
35(2/2016), DOI: 10.7862/re.2016.9
Analiza statycznych metod obrony przed atakami SQL Injection
Michał Dymek, Mariusz Nycz, Alicja Gerka
DOI: 10.7862/re.2016.9
Streszczenie
W artykule zaprezentowano analizę podatności systemów bazodanowych na ataki typu SQL Injection. Praca rozpoczyna się od przedstawienia charakterystyki analizowanego ataku w kontekście baz danych. Bazy danych, pomimo kluczowego znaczenia w infrastrukturze wszelakich systemów odznaczają się niedostatecznym poziomom zabezpieczeń, co w konsekwencji może prowadzić do poważnych strat.
Podstawowym zagrożeniem są ataki SQL Injection, na które obecnie nie występują zewnętrzne mechanizmy obrony. W tym celu zostało zaproponowane rozwiązanie zabezpieczające systemy bazodanowe polegające na odpowiednim przygotowaniu kodu, który obsługuje dynamiczne zapytania do bazy danych. Testy wykazały dużą skuteczność zabezpieczeń przed aktualnie znanymi atakami SQL Injection. Artykuł adresowany jest do administratorów baz danych w szczególności na potrzeby usług webowych.
Literatura
[1] http://www.hackmageddon.com/2016/01/11/2015-cyber-attacks-statistics/ [dostęp:4 marca 2016 r.].
[2] Sadeghian A; Zamani M; Ibrahim S.: SQL Injection is Still Alive:A Study on SQL Injection Signature Evasion Techniques. Advanced Informatics School Universiti Teknologi Malaysia, Kuala Lumpur, Malaysia, 2013.
[3] Clarke J.: SQL Injection Attacks and Defense, Syngress Publishing, Inc., Burlington 2012.
[4] https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005) [dostęp: 4 marca 2016 r.].
[5] https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf [dostęp: 6 marca 2016 r.].
[6] https://github.com/sqlmapproject/sqlmap [dostęp: 6 marca 2016 r.].
Podsumowanie
TYTUŁ:
Analiza statycznych metod obrony przed atakami SQL Injection
AUTORZY:
Michał Dymek (1)
Mariusz Nycz (2)
Alicja Gerka (3)
AFILIACJE AUTORÓW:
(1) Politechnika Rzeszowska
(2) Politechnika Rzeszowska, Katedra Energoelektroniki, Elektroenergetyki i Systemów Złożonych
(3) Politechnika Rzeszowska
WYDAWNICTWO:
Elektrotechnika
35(2/2016)
SŁOWA KLUCZOWE:
bazy danych, bezpieczeństwo, podatność, sqlmap
PEŁNY TEKST:
http://doi.prz.edu.pl/pl/pdf/elektrotechnika/78
DOI:
10.7862/re.2016.9
URL:
http://dx.doi.org/10.7862/re.2016.9
DATA WPŁYNIĘCIA DO REDAKCJI:
2016-05-18
DATA PRZYJĘCIA DO DRUKU:
2016-06-22
PRAWA AUTORSKIE:
Oficyna Wydawnicza Politechniki Rzeszowskiej, al. Powstańców Warszawy 12, 35-959 Rzeszów