Sql Injection codice malevolo nel sito come prevenirlo
Classifica Articoli e Pagine
- Lezioni di Elettrotecnica 3.5. Teorema di Boucherot e Potenza Trifase
- Lezione 2 Metodi Matematici Ingegneria. La trasformata di Laplace
- Lezioni di Elettrotecnica 3.4. Sistemi Trifase a Stella e Triangolo
- Lezioni di Elettrotecnica 4. Motori elettrici in corrente continua
- Inserire la radice quadrata da Tabella Ascii
Privacy e cookie: Questo sito utilizza cookie. Continuando a utilizzare questo sito web, si accetta l’utilizzo dei cookie.
Per ulteriori informazioni, anche su controllo dei cookie, leggi qui: Informativa sui cookie
Per ulteriori informazioni, anche su controllo dei cookie, leggi qui: Informativa sui cookie
Analisi SEO
Geo IP Site
Htaccess
- Redirec Nuova Directory vecchia directory
- Redirect Vecchio Url nuovo url
- Redirect Nuovo Dominio Vecchio Dominio
Tipi di articoli
Categorie
Categorie
Tag
Anno
Sicurezza Informatica
- Virus informatici
- Worm
- Trojan
- Ransomware
- Spyware
- Adware . Nella stessa Categoria trovate anche come rimuoverli manualmente dai vostri Browser. Ossia Rimuovere Adware da Chrome Rimuovere Adware da Microsoft Edge e da Firefox
- Sextortion
- Scareware
- Keylogger
Tipi di articoli
Categorie
Categorie
Tag
Anno
| L | M | M | G | V | S | D |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 | ||
Legge sui Cookies
Utilizziamo i cookie sul nostro sito Web per offrirti l'esperienza più pertinente ricordando le tue preferenze e ripetendo le visite. Cliccando su "Accetta" acconsenti all'uso di TUTTI i cookie. Puoi visionare la nostra politica sui Cookie alla Pagina sulla Cookie Policy . Nella pagina potrai trovare tutti i cookie che il sito utilizza e il trattamento che viene effettuato sui cookie stessi , sul sito dove vengono immagazzinati e sul trattamento a cui sono sottoposti.Per ogni dubbio o approfondimento ti invitiamo a contattarci grazie al nostro modulo di contatto
Privacy & Cookies Policy
Privacy
Questo sito Web utilizza i cookie per migliorare la tua esperienza durante la navigazione nel sito Web. Di questi cookie, i cookie classificati come necessari vengono memorizzati nel browser in quanto sono essenziali per il funzionamento delle funzionalità di base del sito Web. Utilizziamo anche cookie di terze parti che ci aiutano ad analizzare e capire come utilizzi questo sito web. Questi cookie verranno memorizzati nel tuo browser solo con il tuo consenso. Hai anche la possibilità di disattivare questi cookie. Ma la disattivazione di alcuni di questi cookie potrebbe avere un effetto sulla tua esperienza di navigazione.
I cookie necessari sono assolutamente essenziali per il corretto funzionamento del sito web. Questa categoria include solo i cookie che garantiscono funzionalità di base e caratteristiche di sicurezza del sito web. Questi cookie non memorizzano alcuna informazione personale.
Tutti i cookie che potrebbero non essere particolarmente necessari per il funzionamento del sito Web e vengono utilizzati specificamente per raccogliere dati personali dell\'utente tramite analisi, pubblicità, altri contenuti incorporati sono definiti come cookie non necessari. È obbligatorio ottenere il consenso dell\'utente prima di eseguire questi cookie sul tuo sito web.
%d blogger hanno fatto clic su Mi Piace per questo:
SQL injection non è propriamente un virus ma una tecnica di Code Injection. Ossia come potete facilmente capire di codice iniettato all’interno della vostra applicazione sito web oppure direttamente nel vostro database.
Sql Injection trova la sua forza nella vulnerabilità del vostro sistema di sicurezza. Un tipico esempio di questo tipo di attacco informatico è quando il vostro sistema non è correttamente filtrato. Per esempio con gli escape nelle query SQL, o tipizzato ad esempio si cerca di forzare l’introduzione di una stringa dove il campo è un integere.
Tipologia di attacco Sql Injection
L’attacco sql injection va di pari passo con lo spoof identity per modificare dati esistenti vedi transazioni . Tipico esempio manipolare un database server per ottenerne le credenziali.
Da quando si è osservato il primo tipo di attacco di questo tipo si è assistito ad una crescita esponenziale. Tipicamente questa tecnica è utilizzata nei siti di grandi aziende.
Al momento i siti poco più che amatariali e i blog WordPress non sembrano essere particolarmente interessati a questa piaga.
Quindi in conclusione Sql Iniection non è un virus classico, ma l’introduzione di un codice malevolo al fine di entrare nel database del vostro sistema. O cmq accedere ai dati sensibili.
Esempio Sql Injection al database SQL
Un programmatore potrebbe scrivere una query del tipo per poi fare delle istruzioni condizionali per vedere se l’utente in questione ha le credenziali per accedere al vostro sito.
Come potete vedere una normalissima query di accesso ai dati. Il malenintenzionato potrebbe riscrivere la query nel seguente modo.
e ovviamente la OR 1 uguale 1 farebbe in modo tale che avrebbe sempre accesso ai dati del tabase.
Un altro tipo di attacco molto utilizzato è invece aggiungere alla query sopra il codice
In questo caso perderete tutti i dati del vostro database. Per questo motivo è sempre di buon conto fare delle copie.
Blind SQL injection
Una diciamo sottotecnica di quella principale è la Blind. Questa tecnica non attacca specificatamente la tabella utente per reperire i dati sull’autenticazione ma una tabella specifica.
Pensate ad esempio ad un sito di prenotazioni e ad una query del tipo
L’hacherk invece che l’url tradizionale invocherà il seguente
E dopo aggiungerà altro codice tipo Drop come visto sopra oppure potrebbe mettere
Per non fare funzionare il sito o altre combinazioni ancora.
Come prevenire gli attacchi Sql Injection
C’è da dire che questi attacchi una volta individuati sono facilmente prevenibili. Insomma non occorrono particolari algoritmi di case di antivirus che si occupano di euristica.
I metodi sono abbastanza semplici. In primo luogo settate i giusti permessi nelle vostre cartelle . Ossia evitate il 777 se proprio non necessita. Comprendo che è semplice e comodo , ma purtroppo è la via privilegiata d’accesso a chi vuole eseguire un attacco malevolo.
Tenere sempre aggiornata la versione di linguaggio di programmazione che state usando.
Ma sopratutto prendere le giuste contromisure.
Ossia se vi aspettate di leggere un numero , controllate che state ricevendo veramente un numero e non altro…
Ogni qual volta che inserite una stringa nel database mettete sempre gli escape.
Un altro rimedio è limitare i permessi di accesso a determinati file ad alcune tabelle. Per esempio da un file di lettura delle prenotazioni non ci si aspetta che legga gli utenti e quindi blocchiamo al file l’accesso alla tabella utenti.
Tecniche sofisticate per prevenire gli attacchi Sql Injection
Sicuramente fra le tecniche più sofisticate per prevenire questo tipo di attacco c’è la conversione esadecimale.
Il fine appare alquanto ovvio con la conversione e la deconversione si impedisce al linguaggio di interpretare la stringa passata. Per esempio in PHP
$cod = bin2hex("codice_segreto");e dopo
Ovviamente questa è solo una possibile tecnica. In quanto avrete capito perfettamente che in questo tipo di attacchi la risposta va di pari passo all’offesa architettata dall’hacker.
Condividi:
Mi piace: