Hoe SQL-injectieaanvallen in 2021-beveiligde SQL-databases te voorkomen

Er is maar één reden waarom u op deze pagina bent beland. Om uw database te beveiligen , toch? Welnu, we hebben de beste gids om u te laten zien hoe u SQL-injectieaanvallen kunt voorkomen .

SQL-injectie die wordt afgekort als Structured Query Language Injection is een hacktechniek die zo'n vijftien jaar geleden werd ontdekt en nog steeds verwoestend effectief is. Het wordt beschouwd als een topprioriteit voor databasebeveiliging. Dit werd gebruikt bij de verkiezingen van 2016 in de VS om de persoonlijke gegevens van ongeveer 200.000 kiezers in gevaar te brengen. De SQL-injectie werd ook gebruikt tegen specifieke organisaties zoals PBS, Microsoft, Yahoo en Sony Pictures, Heart Land, Payment System en zelfs de CIA.

De SQL is een controle-en commandotaal die wordt gebruikt voor relationele databases zoals Microsoft SQL Server, Oracle en MySQL. Omdat we tegenwoordig moderne webontwikkeling hebben, worden deze databases gebruikt aan de achterkant van de webapps en contentbeheersystemen die zijn geschreven in PHP, ASP.NET en andere scripttalen. Hieruit concluderen we dus dat zowel het gedrag als de inhoud van meerdere websites is gebaseerd op gegevens in een databaseserver.

Elke succesvolle aanval op een database die wordt gebruikt om een ​​webapp of website aan te sturen, zoals de inlog-bypass-aanval met SQL-injectie geeft de hacker veel macht. Van het vastleggen van gevoelige informatie, waaronder interne bedrijfsdatabaseopdrachten of accountreferenties, tot het wijzigen van website-inhoud (defacing) is alles wat ze kunnen doen en onderhouden. De commandolijst van SQL is waarschijnlijk hetzelfde als de commandolijst van de database. Het bevat potentieel catastrofale zoals de Drop-tabel.

Voorbereidingen treffen om uw SQL-database te beveiligen

Het eerste dat u moet doen om een ​​SQL-injectie te voorkomen aanval wordt gezien welke applicaties kwetsbaar zijn. De beste en gemakkelijkste manier om dit te doen, is door uw aanvallen te activeren om te zien of ze succesvol worden of niet. Omdat SQL een complexe en uitdagende taal is, is het geen triviale taak om codefragmenten te construeren die kunnen worden geïnjecteerd of ingevoegd in een query om te proberen een database te compromitteren.

Welnu, het beste deel hiervan is dat dit niet allemaal nodig is. U kunt alleen een geautomatiseerde SQL-injectie-aanvalstool gebruiken, en dat zal al het werk voor u doen.

We hebben een voorbeeld dat we hier kunnen zien. Het is Havij, het is ook een tool die is ontwikkeld door Iraanse veiligheidsprofessionals. U kunt dit op een mogelijk doelwit wijzen en Havij zal de site onderzoeken om te bepalen welk type database in gebruik is. Op basis hiervan bouwt het vervolgens specifieke queries op om de kenmerken van de database te onderzoeken. Hier is weinig tot geen SQL-expertise vereist van de kant van de gebruiker.

Havij kan velden, tabellen en soms zelfs volledige datadumps uit een doel halen. Havij is een functie voor het herstellen van fouten die wordt gebruikt om de gebruiker te helpen bij het verwijderen van enkele van de gevonden kwetsbaarheden. Je kunt Havij krijgen in een gratis versie en ook in de volledig functionele commerciële versie.

We hebben ook andere geautomatiseerde SQL-injectietools die SQLmap en jSQL zijn. De Tyrant SQL is een GUI-versie van de SQL-map. Deze tools worden gebruikt om een ​​krachtige SQL-injectie-aanval uit te voeren, een aanval die anders alleen voorbehouden zou zijn aan experts, in handen van iedereen die het gevoel heeft je apps aan te vallen. Het is daarom het beste om uw applicaties te testen met behulp van deze tools en vervolgens elke kwetsbaarheid die ze ontdekken te herstellen voordat iemand kwaadwillende ze ontdekt. ​​

Controleer ook: hoe u zich kunt beschermen tegen ransomwarevirussen.

Hoe u aanvallen door SQL-injectie kunt voorkomen om uw databases veilig te houden

kunt uzelf voorkomen van de SQL-injectie-aanval door de volgende stappen te volgen:

• Het is niet de bedoeling dat u iemand vertrouwt

Ga ervan uit dat alle door de gebruiker ingediende gegevens verschrikkelijk zijn, dus gebruik invoervalidatie via een functie zoals MySQL's mysql_real_escape_string om er zeker van te zijn dat er geen gevaarlijke tekens worden doorgegeven aan de SQL-query in gegevens. U moet ook alles opschonen door gebruikersgegevens op context te filteren. U moet bijvoorbeeld e-mailadressen en telefoonnummers filteren voor de beste beveiliging.

• U mag geen dynamische SQL gebruiken

U hoeft geen query's te maken met de gebruikersinvoer. Zelfs het opschonen van gegevens kan gebreken vertonen, dus u moet indien mogelijk voorbereide verklaringen, geparametriseerde vragen of opgeslagen procedures gebruiken. Houd één ding in gedachten dat opgeslagen procedures niet in staat zijn om alle SQL-injectie-aanvallen te voorkomen, dus u hoeft er niet volledig op te vertrouwen.

• U moet regelmatig updaten en patchen

Kwetsbaarheden die in applicaties en databases worden aangetroffen, worden regelmatig ontdekt, dus het is het beste om patches en updates zo snel mogelijk toe te passen. Dit is misschien de investering waard.

Bekijk ook: 6 beste gratis SQL-injectietools om te downloaden voor het hacken van databases.

Gebruik een WAF ( Web Application Firewall) om SQL-injectieaanvallen te voorkomen

De WAF wordt gebruikt om bescherming en beveiliging te bieden tegen een nieuwe kwetsbaarheid voordat er een patch is.

• Je moet het aanvalsoppervlak verkleinen

Je moet elke databasefunctie verwijderen waarvan je geen hacker nodig hebt om ervan te profiteren. We hebben bijvoorbeeld alles te maken met de uitgebreide opgeslagen procedure xp_cmdshell in MSSQL. Het wordt gebruikt om de Windows-opdrachtshell te spawnen en vervolgens een string door te geven voor uitvoering. Dit kan inderdaad erg handig zijn voor de hacker. Dit heeft dezelfde beveiligingsrechten als het SQL Server-serviceaccount.

• U moet de juiste rechten gebruiken

Zonder enige reden , het is niet de bedoeling dat u uw database verbindt met een account met beheerdersrechten. Wanneer u een account met beperkte toegang gebruikt, wordt het veel veiliger en kan het beperken wat een hacker kan doen

• Het is de bedoeling dat u uw geheimen geheim houdt

Je moet ervan uitgaan dat je app niet beschermd of beveiligd is en dienovereenkomstig handelen door wachtwoorden en andere privégegevens te versleutelen, inclusief de verbindingsreeksen.

• U hoeft niet meer informatie weg te geven dan nodig is

Hackers kunnen veel leren van de foutmeldingen, dus zorg ervoor dat ze weinig informatie weergeven. U hoeft alleen de aangepaste foutmodus op afstand te gebruiken om korte foutmeldingen op de lokale computer te plaatsen en te plaatsen en ervoor te zorgen dat elke externe hacker niets meer krijgt dan het feit dat zijn acties resulteerden in een niet-afgehandelde fout.

Controleer ook: hoe u uw netwerk kunt beschermen tegen DDoS-aanvallen.

• Houd SQL-instructies in de gaten

Dit zal helpen om de frauduleuze SQL-kwetsbaarheden en verklaringen te identificeren. Monitoringtools die gedragsanalyse kunnen gebruiken, kunnen echter handig zijn.

• U moet betere software kopen

U kunt geef de verantwoordelijkheid aan de codeschrijvers om de code te controleren en beveiligingsfouten in aangepaste applicaties op te lossen voordat de software wordt afgeleverd.

Controleer ook: Hoe veilig en veilig is Dropbox en is het veilig om te gebruiken?

Laatste woorden

SQL is een gemeenschappelijke taal die voornamelijk wordt gebruikt voor databases. Vandaag hebben we u laten zien hoe u SQL-injectie-aanvallen kunt voorkomen . Volg de bovenstaande manieren en maak uw gegevens beveiligd en beschermd. Als u dit artikel nuttig vond, laat dan opmerkingen achter in het onderstaande gedeelte. Ik hoop dat je nu beschermd bent tegen SQL-aanvallen . U kunt leren hoe u SQL-serverwachtwoorden kunt hacken door onze tutorial te bekijken om te zien hoe deze aanvallen plaatsvinden.