Boczne wstrzykiwanie kodu SQL

Kotulla, A.

Artykuł - szczegóły

Tytuł artykułu

Boczne wstrzykiwanie kodu SQL

Autorzy

Kotulla A.

Identyfikatory

Warianty tytułu

Lateral SQL injection

Języki publikacji

Abstrakty

Jednym z rodzajów ataków poprzez aplikacje korzystające z baz danych jest wstrzykiwanie przekazywanego przez aplikacje do baz danych kodu SQL. W rozdziale omówiono nowy wariant wstrzykiwania kodu SQL, tak zwane boczne wstrzykiwanie kodu SQL. Wskazane zostały również metody ochrony przed atakiem tą metodą.

One of the methods to attack through the web applications with a database in the data layer is the injection of SQL code, which is transferred from the application to the database. A new technique of SQL injection, the lateral SQL injection, is discussed in this paper. This paper describes also the methods to protect again this kind of SQL injection.

Słowa kluczowe

baza danych bezpieczeństwo wstrzykiwanie kodu SQL iniekcja kodu SQL

database security SQL injection

Wydawca

Wydawnictwo Politechniki Śląskiej

Czasopismo

Studia Informatica

Rocznik

2009

Tom

Vol. 30, nr 2B

Strony

265--273

Opis fizyczny

Bibliogr. 14 poz.

Twórcy

autor

Kotulla A.

Instytut Informatyki Politechniki Śląskiej, 44-100 Gliwice, ul. Akademicka 16, anna.kotulla@polsl.pl

Bibliografia

1. Anley Ch.: Advanced SQL Injection In SQL Server Applications. An NGSSoftware Insight Security Research (NISR) Publication. Next Generation Security Software Ltd., 2002.
2. Anley Ch.: (more) Advanced SQL Injection. An NGSSoftware Insight Security Research (NISR) Publication. Next Generation Security Software Ltd., 2002.
3. Finnigan P.: Lateral SQL Injection needs no database privileges, Pete Finnigan's Oracle security weblog, 2008. http://www.petefinnigan.com/weblog/archives/00001190.htm (sprawdzono 20.01.2009).
4. Kost S.: An Introduction to SQL Injection Attacks for Oracle Developers. Integrity Corporation. Chicago 2004.
5. Kotulla A.: Przegląd zagrożeń dla systemów baz danych oraz sposoby ochrony. Konferencja Naukowa Bazy Danych: Aplikacje i Systemy, Wydawnictwa Naukowo-Techniczne, Warszawa 2008.
6. Kotulla A.: Zaawansowane metody manipulacji kodu SQL. Konferencja Naukowa Bazy Danych: Aplikacje i Systemy, Wydawnictwa Naukowo-Techniczne, Warszawa 2008.
7. Litchfield D.: Data-mining with SQL Injection and Interference. An NGSSoftware Insight Security Research (NISR) Publication. Next Generation Security Software Ltd., 2005.
8. Litchfield D., Anley Ch., Haesman J., Grindlay B.: The Database Hacker's Handbook, Defending Database Servers. Wiley Publishing, Inc., Indianapolis 2005.
9. Litchfield D.: Lateral SQL Injection: A New Class of Vulnerability in Oracle, An NGSSoftware Insight Security Research (NISR) Publication, 2008.
10. Litchfield D.: 07/18/2008: Lateral SQL Injection Revisited - No Special Privs Required, David Litchfield's Weblog, 2008. URL: http://www.davidlitchfield.com/blog/archives/00000044.htm (sprawdzono 20.01.2009).
11. Litchfield D.: Dangling Cursor Snarfing: A New Class of Attack in Oracle. An NGSSoftware Insight Security Research (NISR) Publication. Next Generation Security Software Ltd., 2006.
12. Sharma P.: SQL Injection Techniques & Countermeasures. Department of Information.
13. Oracle: How to write SQL injection proof PL/SQL, An Oracle White Paper, 2008.
14. Oracle: Oracle(r) Database PL/SQL Packages and Types Reference 11g Release 1, Part Number B28419-03, URL: http://download.oracle.com/docs/cd/B28359_01/appdev.111/b28419/index.htm (sprawdzono 19.01.2009).

Typ dokumentu

Bibliografia

Identyfikator YADDA

bwmeta1.element.baztech-article-BSL8-0027-0021