TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz
-
Upload
trojmiejska-grupa-testerska -
Category
Software
-
view
122 -
download
2
Transcript of TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz
![Page 1: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/1.jpg)
Internet SecuritySQL Injection
Robert CharewiczGdańsk, 8 czerwca 2016
![Page 2: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/2.jpg)
Background•Coraz więcej osób na świecie dostaje możliwość podłączenia się do Internetu
•Przetwarzamy olbrzymie (tylko > 1 ZB w 2015) ilości danych …
• ... u 2,4 mld użytkowników (2014) ...
![Page 3: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/3.jpg)
SQL Injection
Nieupoważnione wykonanie* kodu SQL na systemie lub urządzeniu zdalnym agregującym dane.
* Mające często na celu kradzież tych danych lub zniszczenie bazy – to już zależy od intencji atakującego!
![Page 4: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/4.jpg)
Opis ataku• http://sekurak.pl/wp-content/uploads/2013/06/sql_query_1.png
(Sekurak)
• http://sekurak.pl/wp-content/uploads/2013/06/sql_injection2.png (Sekurak)
![Page 5: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/5.jpg)
DemonstracjaPrzykłady ataku SQL InjectionWykorzystanie programu sqlmap
![Page 6: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/6.jpg)
Jak się bronić•Walidacja danych po stronie klienta i serwera (!)
•Odcięcie dostępu zdalnego do serwera – tylko dostęp lokalny
•Utworzenie użytkowników z prawami tylko do określonych operacji na bazie danych
•Użycie procedur składowanych
![Page 7: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/7.jpg)
Ciekawostki• SQL Injection występujące w nazwie firmy: Dariusz Jakubowski
x’; DROP TABLE users; SELECT ‘1• https://niebezpiecznik.pl/post/jego-firma-ma-w-nazwie-sql-injection-
nie-zazdroscimy-tym-ktorzy-beda-go-fakturowali/
• Błąd SQL na paragonie• https://niebezpiecznik.pl/post/sql-injection-w-paragonie/
![Page 8: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/8.jpg)
Ciekawostki
![Page 9: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/9.jpg)
Pytania ?
![Page 10: TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz](https://reader036.fdocument.pub/reader036/viewer/2022062904/587e93371a28ab672b8b61a7/html5/thumbnails/10.jpg)
Dziękuję za uwagę