Individual loyiha mavzu: Web tizimlarda in’eksiya hujumlari va ularni oldini olish usullari




Download 0,54 Mb.
Pdf ko'rish
bet13/15
Sana25.05.2024
Hajmi0,54 Mb.
#253845
1   ...   7   8   9   10   11   12   13   14   15
2.3
SQL
 
in’eksiya
 
hujumlarini oldini olish 
SQL in’eksiyasi hujumlarini oldini olish uchun quyidagi qadam-lar tavsiya etiladi: 
1. Parametrizatsiya: SQL sо‘rovlarda parametrizatsiya ishlatish tavsiya etiladi. 
Parametrizatsiya, foydalanuvchidan kiritilgan ma’lumotlarni tо‘g‘ri formatda ma’lumotlar 
bazasiga о‘tkazishda uning parameter sifatida qо‘llanilishini ta’minlaydi. Bu usul SQL 
in’eksiyasi jarayonini tо‘xtatadi. 
2. Preparatlangan sо‘rovlardan foydalanish: Preparatlangan sо‘rovlarni ishlatish, SQL 
in’eksiyasi riskini kamaytiradi. Preparatlangan sо‘rovlar, ma’lumotlarni tо‘g‘ri 
shakllantirish va SQL sо‘rovini ajratib qо‘yishni ta’minlaydi, shuningdek, SQL sо‘rovlari 
va ma’lumotlar orasida tо‘g‘ri qо‘llanishni ta’minlaydi. 
3. Validatsiya: Foydalanuvchidan kiritilgan ma’lumotlarni tekshirish va validatsiya 
qilish kerak. Ma’lumotlarni tо‘g‘ri shakllantirish, yalniz tо‘g‘ri formatga mos 
ma’lumotlarni ma’lumotlar bazasiga о‘tkazishni ta’minlaydi. Validatsiya, ma’lumotlar 
ustida qо‘llanishdan oldin ma’lumotlarning tо‘g‘ri shakllantirilganligini tekshirib о‘tishni 
о‘z ichiga oladi. 
4. Least Privilege tо‘g‘risida amal qilish: Ma’lumotlar bazasi uchun foydalanuvchi 
huquqlarini cheklash va ‘‘Least Privilege’’ prinsipi asosida ishlash tavsiya etiladi. Bu, 
foydalanuvchilarga faqat zarur bо‘lgan huquqlarni berish va ulardan ortiq foydalanuvchi 
kirishlari va in’eksiyalar uchun potentsial manbalarini cheklash demakdir. 
5. Xavfsizlik yamalarini kuzatish: Tizim va kutubxonalardagi xavfsizlik yamalarini 
kuzatish va о‘z vaqtingizda yangilashlarini о‘rnatish tavsiya etiladi. Xavfsizlik yamalari, 
avvaldan aniqlangan va muvaffaqiyatli testdan о‘tgan in’eksiya yо‘nalishlarini 
pasaytirishga yordam beradi. 
6. Monitoring va Logs: Tizimni monitoring qilish va kuzatib borish, in’eksiya 
hujumlari va ulardan kelib chiqqan belgilarni aniqlashga yordam beradi. Tizimda yо‘l 
qо‘yilgan SQL sо‘rovlarni, xato holatlarni va potentsial in’eksiya urunishlarini kuzatib 
borish tizimga zarar yetkazishdan oldin muhimdir. 

25 
7. Xavfsizlikni ta’lim berish: Tizim tuzuvchilari va dasturchilarga xavfsizlikning 
muhimligi haqida ta’lim berish kerak. Xavfsizlik prinsiplarini va tizimni hujumdan himoya 
qilish usullarini tushunish, in’eksiya hujumlariga qarshi yaxshi tushunarli va ishonchli kod 
yozishga imkon beradi. 
Bu tavsiyalar, SQL in’eksiyasi hujumlarini oldini olishda asosiy qadam-lar 
hisoblanadi, lekin barcha xavfsizlik masalalarini hal qilishda tizimni asosiy xavfsizlik 
prinsiplari va xavfsizlik sо‘rovlari bilan muvaffaqiyatli birlashtirish kerak. 
SQL Injection hujumini amalga oshirish uchun tajovuzkor avval veb-sahifa yoki veb-
ilova ichida zaif foydalanuvchi ma’lumotlarini topishi kerak. SQL Injection zaifligiga ega 
bо‘lgan veb-sahifa yoki veb-ilova bunday foydalanuvchi kiritishidan bevosita SQL 
sо‘rovida foydalanadi. Tajovuzkor kirish tarkibini yaratishi mumkin. Bunday kontent 
kо‘pincha zararli yuk deb ataladi va hujumning asosiy qismidir. Tajovuzkor ushbu tarkibni 
yuborgandan sо‘ng, ma’lumotlar bazasida zararli SQL buyruqlari bajariladi. 
SQL - bu relyatsion ma’lumotlar bazalarida saqlangan ma’lumotlarni boshqarish 
uchun mо‘ljallangan sо‘rovlar tili. Undan ma’lumotlarga kirish, о‘zgartirish va о‘chirish 
uchun foydalanishingiz mumkin. Kо‘pgina veb-ilovalar va veb-saytlar barcha 
ma’lumotlarni SQL ma’lumotlar bazalarida saqlaydi. Ba’zi hollarda operatsion tizim 
buyruqlarini bajarish uchun SQL buyruqlaridan ham foydalanishingiz mumkin. Shuning 
uchun muvaffaqiyatli SQL Injection hujumi juda jiddiy oqibatlarga olib kelishi mumkin. 
Buzg‘unchilar 
ma’lumotlar 
bazasidan 
boshqa 
foydalanuvchilarning 
hisob 
ma’lumotlarini topish uchun SQL Injections-dan foydalanishlari mumkin. Keyin ular 
ushbu foydalanuvchilarning taqlid qilishlari mumkin. О‘zini namoyon qilgan 
foydalanuvchi barcha ma’lumotlar bazasi imtiyozlariga ega bо‘lgan ma’lumotlar bazasi 
ma’muri bо‘lishi mumkin. 
SQL ma’lumotlar bazasidan ma’lumotlarni tanlash va chiqarish imkonini beradi. SQL 
Injection zaifligi tajovuzkorga ma’lumotlar bazasi serveridagi barcha ma’lumotlarga tо‘liq 
kirish imkonini berishi mumkin. 

26 
SQL shuningdek, ma’lumotlar bazasidagi ma’lumotlarni о‘zgartirish va yangi 
ma’lumotlarni qо‘shish imkonini beradi. Misol uchun, moliyaviy dasturda tajovuzkor 
balanslarni о‘zgartirish, tranzaktsiyalarni bekor qilish yoki о‘z hisobiga pul о‘tkazish 
uchun SQL Injection-dan foydalanishi mumkin. 
Ma’lumotlar bazasidan yozuvlarni о‘chirish, hatto jadvallarni tushirish uchun SQL 
dan foydalanishingiz mumkin. Administrator ma’lumotlar bazasining zahira nusxalarini 
yaratsa ham, ma’lumotlarning о‘chirilishi ma’lumotlar bazasi tiklanmaguncha dastur 
mavjudligiga ta’sir qilishi mumkin. Bundan tashqari, zaxira nusxalari eng sо‘nggi 
ma’lumotlarni qamrab olmasligi mumkin. 
Ba’zi ma’lumotlar bazasi serverlarida siz ma’lumotlar bazasi serveri yordamida 
operatsion tizimga kirishingiz mumkin. Bu qasddan yoki tasodifiy bо‘lishi mumkin. 
Bunday holda, tajovuzkor SQL Injection-dan boshlang‘ich vektor sifatida foydalanishi va 
keyin xavfsizlik devori orqasidagi ichki tarmoqqa hujum qilishi mumkin. 
SQL Injection hujumi qanday amalga oshirilayotgani va u qanday jiddiy oqibatlarga 
olib kelishi mumkinligini bosqichma-bosqich kuzatish uchun qarang: SQL Injectiondan 
foydalanish: amaliy misol. 

Download 0,54 Mb.
1   ...   7   8   9   10   11   12   13   14   15




Download 0,54 Mb.
Pdf ko'rish
Bosh sahifa
Aloqalar
    Bosh sahifa
Dərs
Mühazirə
Qaydalar
Referat
Xülasə
Yazı


Individual loyiha mavzu: Web tizimlarda in’eksiya hujumlari va ularni oldini olish usullari

Download 0,54 Mb.
Pdf ko'rish