25.8.2015 0 Comments

WWW hacking a obrana / 4. časť

Databázy dnes tvoria neoddeliteľnú súčasť mnohých aplikácií, ktoré potrebujú ukladať a spracúvať väčšie množstva dát. Databázy musia mať nejakú štruktúru a logiku a práve tieto požiadavky dokáže splniť jazyk SQL (Structured Query Language), ktorý dnes používajú databázové systémy. Samozrejme, že aj internetové aplikácie používajú databázy a pri nich je zabezpečenie veľmi dôležité, pretože údaje sú umiestnené na serveroch, ktoré denne poskytujú služby celému svetu. Práve zabezpečeniu internetových aplikácií, ktoré pracujú s databázami, sa budeme venovať v tejto časti nášho seriálu. SQL Injection SQL Injection je dnes veľmi známy a medzi útočníkmi aj veľmi populárny typ útokov. Obľúbenosť si zabezpečil tým, že poskytuje možnosť pomerne nenáročne prebrať kontrolu nad databázovým serverom. Nepochybne k tomu prispelo aj to, že len malá časť programátorov sa zaoberá dostatočným zabezpečením svojich webových aplikácií. Buď preto, že o danom probléme a bezpečnostných rizikách vedia len veľmi málo, alebo jednoducho vstup zabudnú ošetriť. Žiaľ, na chybu sa príde obyčajne až neskôr, keď ju niekto využije. V tejto a budúcej časti seriálu sa vám pokúsime vysvetliť, na akom princípe útoky SQL Injection pracujú a ako sa im dá vyhnúť. SQL Injection nie je záležitosť len chybnej implementácie databázy MySQL do kódu programátorov v PHP. Týka sa to všetkých jazykov. Ide tu o databázové príkazy jazyka SQL, teda ošetrenie vstupu a výstupu je potrebné v každom jazyku ASP, PHP, CGI a aj JSP. Takisto ostatné databázové servery, ako napríklad MS SQL alebo PostgreSQL, sa dajú v prípade zlého ošetrenia vstupu a výstupu napadnúť. Pozrime sa na nasledujúci príklad. Obsah súboru index.html: Prihlásenie < ...

Článok je uzamknutý

Pokračovanie článku patrí k prémiovému obsahu PC REVUE, ktorý je dostupný pre predplatiteľov. S digitálnym predplatným za 20 € na celý rok získate neobmedzený prístup k uzamknutému obsahu na webe. Objednať si ho môžete TU. Ak už máte digitálne predplatné PC REVUE prihláste sa TU. Ak máte digitálne predplatné Piano, prihláste sa pomocou Piano.


Prihlásiť pomocou členstva PC REVUE
 
Alebo sa prihláste cez službu Piano





Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá