Analiza statycznych metod obrony przed atakami SQL Injection

• Autorzy: Dymek M. , Nycz M. , Gerka A.

Identyfikatory

DOI

10.7862/re.2016.9

Warianty tytułu

EN

Analysis of static methods of defense against SQL Injection

• Języki publikacji: PL

Abstrakty

PL

W artykule zaprezentowano analizę podatności systemów bazodanowych na ataki typu SQL Injection. Praca rozpoczyna się od przedstawienia charakterystyki analizowanego ataku w kontekście baz danych. Bazy danych, pomimo kluczowego znaczenia w infrastrukturze wszelakich systemów odznaczają się niedostatecznym poziomom zabezpieczeń, co w konsekwencji może prowadzić do poważnych strat. Podstawowym zagrożeniem są ataki SQL Injection, na które obecnie nie występują zewnętrzne mechanizmy obrony. W tym celu zostało zaproponowane rozwiązanie zabezpieczające systemy bazodanowe polegające na odpowiednim przygotowaniu kodu, który obsługuje dynamiczne zapytania do bazy danych. Testy wykazały dużą skuteczność zabezpieczeń przed aktualnie znanymi atakami SQL Injection. Artykuł adresowany jest do administratorów baz danych w szczególności na potrzeby usług webowych.

EN

The article presents an analysis of SQL Injection vulnerabilities. The work begins with the presentation of the characteristics of the attack analyzed in the context of database. Databases, despite the key role in the infrastructure of many kinds of systems are characterized by insufficient level of security, which in turn can lead to serious loses. The main threat are SQL Injection attacks, which currently does not have external defense mechanisms. For this purpose, there is a solution to increase the security of database systems, involving the proper preparation of the code that supports dynamic database queries. Tests have shown high effectiveness of protection against currently known SQL Injection attacks. Article is aimed at database administrators in particular for Web services.

Słowa kluczowe

PL

bazy danych; bezpieczeństwo; podatność; sqlmap

EN

databases; security; vulnerability; sqlmap

• Wydawca: Oficyna Wydawnicza Politechniki Rzeszowskiej
• Czasopismo: Zeszyty Naukowe Politechniki Rzeszowskiej. Elektrotechnika
• Rocznik: 2016
• Tom: z. 35 [294], nr 2
• Strony: 47--56
• Opis fizyczny: Bibliogr. 6 poz., tab., wykr.

Twórcy

autor

Dymek M.

• Politechnika Rzeszowska

autor

Nycz M.

• Politechnika Rzeszowska, Katedra Energoelektroniki, Elektroenergetyki i Systemów Złożonych

autor

Gerka A.

• Politechnika Rzeszowska

Bibliografia

• [1] http://www.hackmageddon.com/2016/01/11/2015-cyber-attacks-statistics/ [dostęp:4 marca 2016 r.].
• [2] Sadeghian A; Zamani M; Ibrahim S.: SQL Injection is Still Alive:A Study on SQL Injection Signature Evasion Techniques. Advanced Informatics School Universiti Teknologi Malaysia, Kuala Lumpur, Malaysia, 2013.
• [3] Clarke J.: SQL Injection Attacks and Defense, Syngress Publishing, Inc., Burlington 2012.
• [4] https://www.owasp.org/index.php/Testing_for_SQL_Injection_(OTG-INPVAL-005) [dostęp: 4 marca 2016 r.].
• [5] https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf [dostęp: 6 marca 2016 r.].
• [6] https://github.com/sqlmapproject/sqlmap [dostęp: 6 marca 2016 r.].

Uwagi

PL

Opracowanie ze środków MNiSW w ramach umowy 812/P-DUN/2016 na działalność upowszechniającą naukę.