SQL Enjeksiyonları: Sayfanızın Kalbine Saldırılar

Tobias Schüring 15 Ocak 2020 tarihinde güncellendi
6 Dk.
SQL Enjeksiyonları

Ayrıca Brute Force Saldırı tekrar tekrar dalış WordPress SQL Enjeksiyonları için en büyük tehditler listesinde WordPress Sayfa. Bunlar, sayfalarınızın veritabanında nispeten kolay kurcalama sitdowns vardır. Bu, bilgisayar korsanlarının hassas verilere erişmesine veya yönetici hesaplarının kendileri kurmasına ve sitenizi kolayca manipüle etmesine olanak tanır. Saldırının nasıl işlediğini ve neden bu kadar tehlikeli olduğunu gösteriyoruz.

Mart 2008: Hacker (dahil, bu arada, gerçek bir Beyni) tutun 134 milyon kredi kartı bilgileri heartland Ödeme Sistemleri. 2016 ortası: Şüpheli Rus bilgisayar korsanları kendilerini ele Kayıtlı seçmenlerin veritabanına erişim Illinois Eyalet Seçim Kurulu. Benzer bir şey oluyor Arizona içindeŞubat 2017: Amerikalı silah satıcısı Airsoft GI 65.000 kullanıcı hesabından çalınan verilerMart 2017: Şüpheli Çinli bilgisayar korsanları Kore'deki bir uygulamanın 4.000 müşterisinin kişisel verilerine erişiyor ve bazen kurbanlara müstehcen kısa mesajlar gönderiyor.

Tüm bu saldırıların ortak bir noktavar: Bunun arkasında sql enjeksiyondenilen nispeten kolay kesmek olduğunu. Bu saldırı, bilgisayar korsanlarının veritabanına ve böylece bir sayfanın tüm kullanıcı verilerine erişmelerini sağlar. Aslında, SQL enjeksiyonları web sitesi operatörleri için en büyük tehditlerden biri olarak kabul edilir. Ayrıca ve özellikle web yöneticileri için, esas olarak WordPress Çalışma.

Ve en azından o zamandan beri WooCommerce ile herhangi bir sorun olmadan özellikle daha büyük ve daha karmaşık dükkanlar WordPress çalıştırılabilir, bu anlamak önemlidir risk düzeyi WordPress SQL Enjeksiyon ve nasıl bu Çalışma.

Ne kadar "tehlikeli" WordPress SQL Enjeksiyonları?

Bir "tehlikelilik" sorusu WordPress kesmek tek bir gösterge şeklinde cevapverilemez. Aksine, bir en az iki yönünü dikkate almak zorundadır: bir yandan, bir olasılık ile kendi WordPress - WordPress projeler böyle bir saldırı kurbanı olabilir, hem de bir hack neden olabilir zarar.

At Brute Force Saldırı örneğin, her ay gerçekleştirilen saldırıların sayısı (bazen 1 milyardan fazla ölçülen saldırı + rapor edilmemiş sayılar) o kadar yüksektir ki, her WordPress - WordPress projeler er ya da geç böyle bir saldırı tarafından hedef. Başarılı bir hack tarafından yapılabilir hasar manifoldu. Çoğunlukla hizmet Brute Force Saldırılar da web sitelerini kaçırmak ve bir botnet onları entegre etmek. Site arası komut dosyası öte yandan, çok daha az yaygındır, ancak esas olarak web siteleri oluşturmak için kullanılır Kötü amaçlı koda bulaştırma.

Kar amacı gütmeyen bir kuruluş olan açık web uygulama güvenliği projesi (OWASP), web uygulamaları için en büyük güvenlik risklerinin ilk 10 listesini düzenli olarak yayınlar. Ve SQL enjeksiyonları sürekli burada ilk sırada yer işgal, hatta (geçici de olsa) 2017 Listesi.

Kar amacı gütmeyen OWASP kuruluşu tarafından düzenli olarak yayımlanan web uygulamaları için en iyi 10 güvenlik riskinin grafiği görülebilir. SQL enjeksiyonları birinci sırada yer alıyor.
Kar amacı gütmeyen kuruluş OWASP, web uygulamaları için en büyük güvenlik risklerinin ilk 10 listesini düzenli olarak yayınlar. SQL enjeksiyonları düzenli olarak burada üst sırayı kaplar.

Aslında, SQL enjeksiyonları kalmak için geldi. Kesmek olduğunu 15 yılı aşkın bilinen. ve 2017 İnternet Güvenlik Raporu Akamai Devlet göre SQL saldırılarının sıklığı 2016'nın ilk çeyreğinden bu yana yüzde 28 oranında artmıştır. 2017'nin ilk çeyreğinde, saldırıların yüzde 44'ü ile en sık yapılan hack'ler SQL enjeksiyonları oldu. 

Burada SQL enjeksiyon u 2017 yılının ilk çeyreğinde saldırıların% 44 ile, en sık gerçekleştirilen kesmek olduğunu bir örnek.
2017'nin ilk çeyreğinde, Akamai State of the Internet Security Report 2017'ye göre, saldırıların %44'ü ile en sık gerçekleştirilen hack'i SQL enjeksiyonu oldu.

Wordfence , Bir güvenlik yazılımı üreticisi WordPress , SQL enjeksiyonlarının özellikle WordPress kullanıcılar büyük bir tehlike oluşturmaktadır. A Yaklaşık 1.600 güvenlik açığının analizi Plugins14 aylık bir süre içinde rapor edilen SQL enjeksiyonları için şimdiye kadar en yaygın ikinci güvenlik riski olduğunu açıkça göstermektedir WordPress sayfalar vardır.

Grafik, SQL Enjeksiyonları'nın şimdiye kadar ki en yaygın ikinci güvenlik riski olduğunu açıkça göstermektedir. WordPress sayfalar vardır.
Grafik, SQL Enjeksiyonları'nın şimdiye kadar ki en yaygın ikinci güvenlik riski olduğunu göstermektedir. WordPress sayfalar vardır.

Tüm bu sayılar ile, tabii ki, karanlık sayı çok daha yüksek olduğunu fark etmek zorunda - genellikle SQL saldırıları nifly fark edilir ve daha sonra herhangi bir istatistik görünmüyor.

Rakamlar gösteriyor ki WordPress Tarafından SQL Enjeksiyonları Brute Force Saldırı Ve XSS Boşlukları en yaygın saldırı türleri arasında yer alıyor. Buna ek olarak, SQL enjeksiyonları sayfanızın özellikle hassas bir alanını hedeflenin: veritabanınız. Özellikle dükkan operatörleri için, bu kesmek bu nedenle varoluşsal bir tehdit vardır. Bu nedenle, nasıl çalıştıklarını ve onlar hakkında neler yapabileceğinizi anlamak önemlidir.

WordPress SQL Enjeksiyonları Sayfanızın Kalbini Hedefle: Veritabanı

SQL enjeksiyonun nasıl çalıştığını anlamak için, WordPress temelde yapılandırılmıştır. Bunu zaten biliyorsanız, Bu bölümü güvenle atla.

Veritabanı her biri için temel WordPress -Kurulum: Tüm içerikburada saklanır. CMS'nin kendisi bu içeriği görüntülemeyi ve görüntülemeyi mümkün kılar. At WordPress MySQL veritabanıdır. SQL, veritabanında yapılar oluşturmak ve veri eklemek, değiştirmek ve silmek için kullanılabilecek tam özellikli bir programlama dili olan Yapılandırılmış Sorgu Dili anlamına gelir.

Her makale yazdığınızda, yeni bir kategori oluşturduğunuzda, parolanızı değiştirdiğinizde ve hatta kullanıcılarınız yorum yazdığınızda, bu yeni veriler veritabanında depolanır. Yani burada web sitenizin her bir içerik yatıyor.

WordPress Bir kullanıcı sayfanızı görüntülediğinde ve belirli içerik leri istediğinde, PHP ile birleştirdiğinde ve sonunda kullanıcının tarayıcısına aktarılan bir HTML belgesi oluşturduğunda, her zaman veritabanından uygun verileri çıkarır. Kullanıcı, o noktaya kadar gerçekleşen tüm olaylar hakkında herhangi bir bilgi almaz.

SQL Enjeksiyonları veritabanına harici kod enjekte

Veritabanını doğrudan kullanmasanız bile, yalnızca WordPress -Backend agierst: Veritabanı web sitenizin kalbidir.

Ama dediğim gibi, kullanıcılar da veritabanına veri girebilirsiniz. Yorum yazın, bir kullanıcı hesabı oluşturun, bir iletişim formu doldurun ve gönderin – tüm bu eylemler veritabanında depolanan verileri oluşturur.

Peki ya birisi veritabanınıza bu dolaylı erişimi kullanırsa veritabanına kötü amaçlı kod lar sokmak için? Sonra sql enjeksiyon hakkında konuşmak.

Bunun arkasındaki fikir özellikle karmaşık değildir: herhangi bir güvenlik önlemi yoksa, bilgisayar korsanının yalnızca bir form alanına SQL kodu girmesi gerekir (örneğin, yorum yazarken). Örneğin, veritabanında SQL komutları yürütülmesinden sorumlu olan SQL yorumlayıcısı için özel bir işlevi olan karakterler içerir. Meta karakterler olarak adlandırılan bu tür özel karakterler, örneğin; " ve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

CMS, bunun zararsız bir veri olduğuna inanır ve girişi her zamanki gibi kaydetmek için veritabanına aktarır. SQL yorumlayıcısı kodu metakarakterler tarafından bir iş olarak tanır ve veritabanı komutunu yürütür.

Bu arada, SQL enjeksiyonları tıpkı onlar gibi geçerlidir Brute Force -Saldırılar: Neredeyse hiçbir zaman bir hacker bilgisayarda tek başına oturur ve el ile formlara kodları girer. Bu saldırılar aynı anda güvenlik açıkları için binlerce web sitesini tarayan ve bir tane buldukları yerde grev yapan otomatik botnetler aracılığıyla da gerçekleştirilecek.

Şimdi ne olabilir ki?

  • Bilgisayar korsanı, erişim sağlamak için kimlik doğrulama mekanizmalarını atlar veya varolan bir kullanıcının kimliğinin arkasına gizler. Örneğin, bir bilgisayar korsanı yeni bir yönetici hesabı oluşturursa, Priviledge Escalation Exploit.
  • Bu şekilde, verileri gözetleyebilir, değiştirebilir veya silebilir. Bu, özellikle çevrimiçi bir mağaza işletiyorsanız ve müşterilerinizin ödeme ayrıntılarına sahipseniz çok önemlidir.
  • Örneğin yönetici olarak oturum açarak ve böylece arka uca erişerek tüm web sitenizin ve web alanınızın kontrolünü ele alabilir. Yani bir hacker siteniz üzerinde tam kontrole sahiptir ve bir spam sapan olarak kullanabilirsiniz, kötü amaçlı kod getirmek veya bir botnet içine eklemek.

Sonuç: Tam otomasyon nedeniyle, WordPress SQL Enjeksiyonları çok tehlikeli

WordPress SQL enjeksiyonları şimdiye kadar en tehlikeli kesmek arasında dır. Bunlar gerçekleştirmek kolaydır, çoğunlukla otomatik, ve büyük hasara neden olabilir: özellikle mağaza operatörleri için, SQL enjeksiyonları tehlike varoluşsal.

Bu nedenle, sitenizi buna göre korumak önemlidir: kullanıcı girişi kontrol edilmeli ve temizlenmelidir. Kötü amaçlı kodun çalışmasını önlemek için verileri de maskelemelisiniz. Bu işlem Veri Sanitizasyon ve Doğrulama olarak adlandırılır ve örneğin, WordPress Kodeksi ayrıntılı olarak ele alınmıştır. Ancak, aşağıdaki makalelerden birinde, konu hakkında daha fazla ayrıntıya girer ve kötü amaçlı kodların veritabanınızda etkin olmasını nasıl önleyeceğinizi gösteririz.

Kapsamlı güvenlik Plugins Sonraki: Özellikle, onlar birçok kesmek için temel olan siteleri, otomatik saldırıları engellemek edebiliyoruz.

Bir sistem yöneticisi olarak, Tobias altyapımızı izler ve sunucularımızın performansını optimize etmek için her türlü ayarlama vidasını bulur. Yorulmak bilmeyen çabaları nedeniyle, o sık sık da Slack bulunabilir.

Benzer makaleler

Bu makaledeki yorumlar

Yorum yaz

E-posta adresiniz yayınlanmayacaktır. Gerekli alanlar * Işaretlenmiş.