ДОСЛІДЖЕННЯ ЕФЕКТИВНОСТІ СЕРВЕРНИХ АТАК НА РЕЛЯЦІЙНІ ТА НЕРЕЛЯЦІЙНІ БАЗИ ДАНИХ. СТВОРЕННЯ СТРАТЕГІЇ ЗАХИСТУ

Михайло Маркевич; Олег Горячий

doi:10.28925/2663-4023.2025.28.756

Автор(и)

Михайло Маркевич Національний університет «Львівська політехніка» https://orcid.org/0009-0000-3228-3525
Олег Горячий Національний університет «Львівська Політехніка» https://orcid.org/0000-0003-4948-458X

DOI:

https://doi.org/10.28925/2663-4023.2025.28.756

Ключові слова:

бази даних, інформаційна безпека, стратегія захисту, NoSQL-ін’єкції, керування доступом на основі ролей, словникова атака, комбінована атака, SQL-ін’єкції

Анотація

Сучасний стан розвитку інформаційних технологій характеризується широким використанням баз даних у різних сферах діяльності, зокрема, в бізнесі, медицині, науці та державному управлінні. Зростання обсягів даних та їх цінності призводить до збільшення кількості кібератак на бази даних. У зв’язку з цим питання забезпечення безпеки баз даних набуває особливої актуальності. У статті розглянуто ефективність серверних атак на реляційні та нереляційні бази даних. Проведено детальний аналіз методів здійснення атак, таких як SQL/NoSQL ін’єкції та словникові атаки, а також оцінено їхні наслідки для безпеки інформаційних систем. Проаналізовано ефективність перебору паролів із зафіксованим словником залежно від параметрів хеш-функцій, кількості раундів хешування бібліотеки bcrypt. Показано, що зі збільшенням кількості раундів хешування обчислювальна стійкість підбору пароля зростає, тому кожна спроба займає більше часу для обробки. Однак, навіть з обмеженим словником та ефективним методом перебору, атаку можна виконати за досить короткий проміжок часу, якщо параметри хешування вибрані неправильно. Наведені схематичні рисунки атак на відповідні типи баз даних. Запропоновано комплексну стратегію захисту по забезпеченню конфіденційності, цілісності та доступності інформації, що включає в себе попередню обробку даних користувачів, хешування паролів, встановлення лімітів на кількість запитів, розмежування доступу та блокування комп'ютеризованих дій. Описано та реалізовано методи протидії серверним атакам, зокрема розглянуто функціональні бібліотеки для безпечного зберігання паролів користувачів. Крім цього, проведено порівняння ефективності різних типів атак у контексті існуючих методів захисту. Результати дослідження продемонстрували, що комплексне впровадження базових компонетів стратегії захисту суттєво посилює стійкість даних до типових серверних атак, особливо в умовах масштабованого середовища із великою кількістю точок входу.

Завантаження

Дані завантаження ще не доступні.

Посилання

Connolly, T. M., & Begg, K. E. (2013). Database Systems: The New Pearson International Edition: A Practical Approach to Design, Implementation, and Management. Pearson Education, Limited.

Romanyuk, O. V., Denisyuk, A. V., Marushchak, A. V., & Shmalyuk, V. A. (2021). Comparative Analysis of SQL and NoSQL Databases. In 12th International Scientific and Technical Conference “Information and Computer Technologies - 2021 (ICT - 2021)”, Zhytomyr Polytechnic University.

NoSQL for Mere Mortals®. (n.d.). O’Reilly Online Learning. https://www.oreilly.com/library/view/nosql-for-mere/9780134029894/

Subramanian, S., & Saravanan, S. (2024). Current trends in No SQL databases. International Journal of Computer Trends and Technology, 72(9), 126–130. https://doi.org/10.14445/22312803/ijctt-v72i9p119

Mongodb Injection Dataset: A Complete Collection of Mongodb – NoSQL Injection Attempts and Vulnerabilities. (n.d.). Data Brief, 110289. https://doi.org/10.1016/j.dib.2024.110289

Kumar, P. & Singh, R. (2024). Security vulnerabilities in SQL databases: analysis and prevention mechanisms. Next-generation computer systems. Elsevier.

monitorapp_admin. (2024). [2024.05] Web attack trend report. MONITORAPP. https://www.monitorapp.com/may-2024-web-attack-trend-report/

Oselsky, S. V. & Oselsky, S. (2019). Methodology for protecting information confidentiality in mssql and mysql databases from sql attacks [Master’s thesis]. ELARTU – Institutional repository of Ivan Pulyuy TNTU. http://elartu.tntu.edu.ua/handle/lib/30595

O’Driscoll, A., & O’Driscoll, A. (2023). 25+ Password hacking statistics and trends (that may change your password habits). Comparitech. https://www.comparitech.com/blog/information-security/password-statistics/

What is SQL Injection? Tutorial and Examples. Web Security Academy. (n.d.). https://portswigger.net/web-security/sql-injection

npm: mongoose. (n.d.). Npm. https://www.npmjs.com/package/mongoose

NoSQL Injection. (n.d.). Web Security Academy. https://portswigger.net/web-security/nosql-injection

International Standard ISO 27002. (2013). Information Technology. Security Methods. Code of Practice for Information Security Management. Kyiv: State Consumer Standards of Ukraine.

Daniel Missler. (n.d.). SecLists/Passwords/darkweb2017-top10000.txt in master· danielmiessler/ SecLists. GitHub. https://github.com/danielmiessler/SecLists/blob/master/Passwords/darkweb2017-top10000.txt

CCNA Cyber Ops (Version 1.1) – Chapter 8: Protecting the Network. (2019). ITexamAnswers.net. https://itexamanswers.net/ccna-cyber-ops-version-1-1-chapter-8-prot ecting -the-network.html

Information technologies. Protection methods. Information security management systems. Requirements (62498) (DSTU ISO/IEC 27001:2015) (n.d.). https://dnaop.com/html/62498/doc%D0%94%D0%A1%

D0%A2%D0%A3_ISO_IEC_27001_2015

npm: jsonwebtoken. (n.d.). Npm. https://www.npmjs.com/package/jsonwebtoken

Dib, F. (n.d.). regex101: build, test, and debug regex. Regex101. https://regex101.com/

npm: yup. (n.d.). Npm. https://www.npmjs.com/package/yup