Nasze serwisy używają informacji zapisanych w plikach cookies. Korzystając z serwisu wyrażasz zgodę na używanie plików cookies zgodnie z aktualnymi ustawieniami przeglądarki, które możesz zmienić w dowolnej chwili. Więcej informacji odnośnie plików cookies.

Obowiązek informacyjny wynikający z Ustawy z dnia 16 listopada 2012 r. o zmianie ustawy – Prawo telekomunikacyjne oraz niektórych innych ustaw.

Wyłącz komunikat

 
 

Logowanie

Logowanie za pomocą Centralnej Usługi Uwierzytelniania PRz. Po zakończeniu pracy nie zapomnij zamknąć przeglądarki.

Elektrotechnika

Elektrotechnika
35(2/2016), DOI: 10.7862/re.2016.9

Analiza statycznych metod obrony przed atakami SQL Injection

Michał Dymek, Mariusz Nycz, Alicja Gerka

DOI: 10.7862/re.2016.9

Streszczenie

W artykule zaprezentowano analizę podatności systemów bazodanowych na ataki typu SQL Injection. Praca rozpoczyna się od przedstawienia charakterystyki analizowanego ataku w kontekście baz danych. Bazy danych, pomimo kluczowego znaczenia w infrastrukturze wszelakich systemów odznaczają się niedostatecznym poziomom zabezpieczeń, co w konsekwencji może prowadzić do poważnych strat.
Podstawowym zagrożeniem są ataki SQL Injection, na które obecnie nie występują zewnętrzne mechanizmy obrony. W tym celu zostało zaproponowane rozwiązanie zabezpieczające systemy bazodanowe polegające na odpowiednim przygotowaniu kodu, który obsługuje dynamiczne zapytania do bazy danych. Testy wykazały dużą skuteczność zabezpieczeń przed aktualnie znanymi atakami SQL Injection. Artykuł adresowany jest do administratorów baz danych w szczególności na potrzeby usług webowych.

Pełny tekst (pdf)

Literatura

[1] http://www.hackmageddon.com/2016/01/11/2015-cyber-attacks-statistics/ [dostęp:4 marca 2016 r.].
[2] Sadeghian A; Zamani M; Ibrahim S.: SQL Injection is Still Alive:A Study on SQL Injection Signature Evasion Techniques. Advanced Informatics School Universiti Teknologi Malaysia, Kuala Lumpur, Malaysia, 2013.
[3] Clarke J.: SQL Injection Attacks and Defense, Syngress Publishing, Inc., Burlington 2012.
[4] https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005) [dostęp: 4 marca 2016 r.].
[5] https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf [dostęp: 6 marca 2016 r.].
[6] https://github.com/sqlmapproject/sqlmap [dostęp: 6 marca 2016 r.].

Podsumowanie

TYTUŁ:
Analiza statycznych metod obrony przed atakami SQL Injection

AUTORZY:
Michał Dymek (1)
Mariusz Nycz (2)
Alicja Gerka (3)

AFILIACJE AUTORÓW:
(1) Politechnika Rzeszowska
(2) Politechnika Rzeszowska, Katedra Energoelektroniki, Elektroenergetyki i Systemów Złożonych
(3) Politechnika Rzeszowska

WYDAWNICTWO:
Elektrotechnika
35(2/2016)

SŁOWA KLUCZOWE:
bazy danych, bezpieczeństwo, podatność, sqlmap

PEŁNY TEKST:
http://doi.prz.edu.pl/pl/pdf/elektrotechnika/78

DOI:
10.7862/re.2016.9

URL:
http://dx.doi.org/10.7862/re.2016.9

DATA WPŁYNIĘCIA DO REDAKCJI:
2016-05-18

DATA PRZYJĘCIA DO DRUKU:
2016-06-22

PRAWA AUTORSKIE:
Oficyna Wydawnicza Politechniki Rzeszowskiej, al. Powstańców Warszawy 12, 35-959 Rzeszów

POLITECHNIKA RZESZOWSKA im. Ignacego Łukasiewicza; al. Powstańców Warszawy 12, 35-959 Rzeszów
tel.: +48 17 865 11 00, fax.: +48 17 854 12 60
Administrator serwisu: