1 / 10

Tinkl ų saugumas

Tinkl ų saugumas. Alius Tamkevičius Rimantas Rusakevičius. Sql injekcija. Kas tai yra? Viena iš populiauriausių duomenų bazės atakavimo priemonių Kaip ir kada tai nutinka Tokios saugumo spragos atsirando dėl programuotojų nemokšiškumo arba skubėjimo. Apsaugos būdai.

haines
Download Presentation

Tinkl ų saugumas

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Tinklų saugumas Alius Tamkevičius Rimantas Rusakevičius

  2. Sql injekcija • Kas tai yra? • Viena iš populiauriausių duomenų bazės atakavimo priemonių • Kaip ir kada tai nutinka • Tokios saugumo spragos atsirando dėl programuotojų nemokšiškumo arba skubėjimo

  3. Apsaugos būdai • Naudoti funkcijas, kurios atpažįsta meta simbolius • mysql_real_escape_string - išmeta specialius simbolius iš gautų duomenų • Vengti viengubų kabučių • Įvedamų duomenų tikrinimas • Galima išjungti apache konfiguracijoje gpc_magic_quotes

  4. Buvo naudojama: PHP programavimo kalba SQL kalba MySQL serveris PHP servisas Apache serveris Operacinės sistemos: Windows Ubuntu DB sukūrimas PHP skripto rašymas Testavimas Laboratorinis įgyvendinimas

  5. Laboratorinis įgyvendinimas • SQL sakinys, kai bandoma prisijungti, naudojant teisingą prisijungimo vardą • SELECT * FROM ts WHERE name = 'admin' AND pass = 'admin‘ • SQL sakinys, kai naudojama SQL injekcija • SELECT * FROM ts WHERE name = '' or '1'='1' -- '' AND pass = ''

  6. Realaus gyvenimo atvejai • Surasti keli puslapiai: • http://vz.lt • http://kinas.info • Pažeidimų paieška buvo vykdoma 2 būdais: • Atsitiktinai atsidarius puslapius • Ieškoma pažeidimų turinio valdymo sistemose (TVS)

  7. Vz.lt puslapis • Šiame puslpayje prie adreso kintamojo pridėjus kabutę, gauname klaidingą rezultatą, kuris atvaizduoja duomenų bazės lentelės stulpelų pavadinimus

  8. kinas.info puslapis • Šiame puslapyje nėra duomenų tikrinimo, gaunamų GET metodu, todėl gauname sql klaidą

  9. Ką išmokome? • Pagilinome žinias apie SQL injekcijas • Supratome, kad nėra lengva įsilaužti į DB naudojant tik SQL injection • Norėdami išmokti daugiau apie SQL injekcijas, galite užeiti į puslapį http://sqlzoo.net/hack/

  10. Exploit price chart

More Related