АНАЛІЗ ПРОБЛЕМИ SQL-ІНЄКЦІЙ В ВЕБ-ЗАСТОСУНКАХ

Катерина Терещенко; Тетяна Терещенко; Юлія Черниш; Роман Штонда; Олена Бокій

doi:10.28925/2663-4023.2024.25.177199

Автор(и)

Катерина Терещенко Національний авіаційний університет https://orcid.org/0009-0008-8469-9854
Тетяна Терещенко Військовий інститут телекомунікацій та інформатизації імені Героїв Крут https://orcid.org/0000-0002-9659-7897
Юлія Черниш Військовий інститут телекомунікацій та інформатизації імені Героїв Крут https://orcid.org/0000-0002-6626-5656
Роман Штонда Військовий інститут телекомунікацій та інформатизації імені Героїв Крут https://orcid.org/0000-0001-5986-0847
Олена Бокій Військовий інститут телекомунікацій та інформатизації імені Героїв Крут https://orcid.org/0009-0006-3459-5665

DOI:

https://doi.org/10.28925/2663-4023.2024.25.177199

Ключові слова:

SQL-ін’єкція; бази даних; ідентифікація та експлуатація; позасмугова SQL-атака; внутрішньосмугова SQL-атака; захищене інформаційне середовище; кібербезпека; захист інформації.

Анотація

Використання веб-додатків наділяє виробничі та бізнес-процеси новими якостями, перш за все такими як: висока мобільність бізнесу; доступність сервісів; безперервність бізнес-процесів; масштабованість одержуваного ефекту тощо. Враховуючи всі ці обставини, питання забезпечення інформаційної безпеки при обробці та зберіганні персоніфікованої та “чутливої” корпоративної інформації, зберігають найвищий пріоритет і є вкрай актуальним напрямом діяльності, як для спеціалістів відповідних підрозділів компаній (відділів та служб інформаційної безпеки), так і для профільних фахівців галузі інформаційної безпеки.

SQL-ін’єкція – одна з найпоширеніших технік злому програм та веб-сайтів, що працюють з різними базами даних. Атака, як правило, проводиться на основі впровадження в різні типи запитів некоректних SQL операторів, що дозволяє зловмиснику отримати практично повний несанкціонований доступ до відповідної бази даних, локальних файлів, а також можливість віддаленого виконання довільних операцій на сервері. Крім того, SQL-атаки часто є результатом неекранованого введення, що передається сайту і використовується як частина запиту до бази даних.

У статті наведено короткий огляд відомих технік злому програм і веб-сайтів, що працюють з базами даних. На основі проведеного аналізу основних різновидів SQL-атак виділено найбільш серйозні типи загроз. Звернуто увагу на необхідність періодичного тестування та моніторингу веб-сайтів, що є актуальним засобом захисту від SQL-ін’єкцій. Відзначено, що найкращий метод тестування – спроба піддати код SQL-ін’єкції. Розглянуті способи захисту здатні підвищити загальний рівень безпеки програмних продуктів від атак типу “SQL-ін’єкція”, забезпечують коректну роботу додатків та цілісність даних користувача.

Розглянуто використання методів і засобів тестування веб-додатків на стійкість до атак відмови в обслуговуванні (DoS-атак).

Підхід, що відображений в статті надасть можливість виявляти вразливості та потенційні загрози, які можуть бути використані зловмисниками для несанкціонованого доступу до веб-ресурсів

Завантаження

Дані завантаження ще не доступні.

Посилання

Positive Technologies: Vulnerability disclosure and researcher-vendor interaction experiences in 2022–2023. (n. d.). https://www.ptsecurity.com/ru-ru/research/analytics/vulnerability-disclosure-and-researcher-vendor-interaction-experience-in-2022-2023/

Yevteev, D. (n. d.). SQL Injection from A to Ya. https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/PT-devteev-Advanced-SQL-Injection.pdf

Sayenko, G., & Grinenko, T. (2019). Protecting web applications from SQL injections. “GLOBAL CYBER SECURITY FORUM 2019”. https://openarchive.nure.ua/server/api/core/bitstreams/4bc35e97-c6a3-4155-bc68-70591fe4fd27/content

Kalancha, A. A. (2023). Development of a system of protection against SQL injections using a divided registry. Modern methods of applying scientific theories: The 10th International scientific and practical conference, 457–458.

Popov, Y., Ruzuzhenko, S., & Pogorela, K. (2019). SQL injections: an overview of potential protection methods. Computer Science and Cybersecurity, 3.

Fedorenko, A. A., Osadchyi, B. I., & Korzhyk, V. V. (2023). Analysis of Methods for Detecting Vulnerabilities of Web Resources to SQL Injections. Modern information protection, 3(55). https://doi.org/10.31673/2409-7292.2023.030008

Berloh, Y., Rohovenko, A., & Dyvnych, H. (2022). Research of Methods of Automated Search of “Sql Injection” Type Vulnerabilities In Web Applications. Technical sciences and technologies, 4(30). https://doi.org/10.25140/2411-5363-2022-4(30)-113-120

Starchikov, S. (2023). Countering cyber threats in the form of SQL injections. https://medium.com/@serhii.starchikov/протидія-кібернетичним-загрозам-у-вигляді-sql-інєкцій-9bad2164fb7e

Kovalenko, A. V. (2017). Technology of Testing Vulnerability to Sql Injection. Collection of Scientific Papers “Control, Navigation and Communication Systems, 5(45), 66–71.

Yaworski, P., & Burmakin, E. (2016). Web Hacking Basics How to make money with ethical hacking Analyze over 30 paid reports! SQL injections, 97–103.

SQL injections. Verification, hacking, protection. (n. d.). https://habr.com/ru/post/130826/

Horner, M., & Hyslip, T. (2017). SQL Injection: The Longest Running Sequel in Programming History. Journal of Digital Forensics, Security and Law, 12(2). https://doi.org/10.15394/jdfsl.2017.1475

Free CDN to Speed Up and Secure WebSite. (n. d.). https://geekflare.com/free-cdn-list/

OWASP CheatSheetSeries. (n. d.). https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.md

Best Practices to prevent SQL-injections. (n. d.). https://tableplus.io/blog/2018/08/best-practices-to-prevent-sql-injection-attacks.htm

SQL-injections: vulnerabilities and how to prevent attacks. (n. d.). https://www.veracode.com/security/sql-injection