حقن اس كيو ال

لا توجد نسخ مراجعة من هذه الصفحة، لذا، قد لا يكون التزامها بالمعايير متحققًا منه.

في المحوسبة ، يعد حقن اس كيو ال أسلوبا لحقن التعليمات البرمجية يستخدم لمهاجمة التطبيقات التي تعتمد على البيانات حيث يتم إدخال عبارات لغة الاستعلامات المهيكلة الضارة في حقل إدخال للتنفيذ (مثال لتفريغ محتويات قاعدة البيانات للمهاجم). يجب أن يستغل إدخال SQL ثغرة أمنية في برنامج أحد التطبيقات ، مثال ، عندما تتم تصفية إدخال المستخدم بشكل غير صحيح تسلسل الهروب الحرفي للسلسلة المضمنة في عبارات SQL أو لم تتم كتابة إدخال المستخدم بشكل واضح وكذالك يتم تنفيذه بشكل غير متوقع. يُعرف حقن اس كيو ال في الغالب باسم ناقل الهجوم في مواقع الويب ولكن يمكن استخدامه لمهاجمة أي نوع من انواع قواعد بيانات اس كيو ال.

تصنيف ناقل الحمل على الويب لحقن SQL، الحالة: 2010.

تسمح هجمات الحقن اس كيو ال للمهاجمين بانتحال الهوية ، والتلاعب في البيانات الموجودة ، والتسبب في مشكلات التنصل مثل إلغاء المعاملات أو تغيير الأرصدة ، والسماح بالكشف الكامل عن جميع البيانات الموجودة على النظام ، أو إتلاف البيانات أو جعلها غير متوفرة بأي طريقة أخرى ، وأن يصبحوا مسؤولين عن خادم قاعدة البيانات. يمكن أيضًا أن تتأثر قواعد بيانات ان او اس كيو ال الموجهة للمستندات بهذه الثغرة الأمنية.

في دراسة أجريت في عام 2012 ، لوحظ أن متوسط في تطبيق الويب تلقى اربع حملات هجومية شهريًا ، وتلقى تجار التجزئة بلغ ضعف عدد الهجمات على مثل الصناعات الأخرى.

التاريخ

عدل

بدأت المناقشات العامة الأولى لحقن SQL في الظهور في حوالي عام 1998 ؛ على سبيل المثال ، مقال نُشر في عام 1998 .

الستمارة

عدل

تم اعتبار حقنSQLI) أحد أهم 10 ثغرات أمنية في تطبيقات الويب لعامي 2007 و 2010 من قبل Open Web Application Security Project . في عام 2013 ، تم تصنيف اس كيو ال على أنها الهجوم رقم واحد على العشرة الأوائل في OWASP. هناك أربع أقسام فرعية رئيسية لحقن SQL:

  • إدخال SQL + مصادقة غير كافية
  • حقن SQL + هجمات DDoS
  • حقن SQL + اختطاف DNS
  • حقن SQL + XSS

تعد Storm Worm أحد تمثيلات اس كيو ال اي المركبة.

يمثل هذا التصنيف حالة اس كيو ال اي، مع احترام تطورها حتى عام 2010 - مزيد من التحسين قيد التنفيذ.