Ryan Barnett z firmy Breach Security napsal pro americký Network World krátký komentář obsahující tipy, jak se bránit proti útoku SQL injection.
- URL posílaná uživateli by neměla obsahovat informace, z nichž lze zjistit verzi databázového serveru a formát, v němž jsou zde data ukládána, například názvy tabulek a sloupců. Loni se ovšem objevily i nástroje pro masivní automatizované útoky, při nichž se podvodníci zjišťováním struktury jednotlivé databáze nezatěžují.
- stojí za to v adrese skrývat i další technologie používané na webovém serveru (ASP, PHP apod.)
- nutností je samozřejmě kontrola vstupu podle délky řetězce, jeho typu, syntaxe, ale i podle specifických „obchodních pravidel“; jejich definici je třeba věnovat pozornost
- na neodpovídající vstup by server neměl vracet žádnou chybovou hlášku, z níž lze vyčíst další informace (viz bod 1). Existují sice i nástroje na odstranění potenciálně nebezpečných dat, která se dostanou do databáze, je však rozhodně bezpečnější tomu předejít
- používat speciální firewall určený pro webové aplikace
- náležitá péče o uložené procedury v databázi, o API používané při jejich volání i opatření proti podvržení uložených procedur
Zdroj: PCWorld.com
Viz také:
Cesta útočníků: SQL injection, JavaScript, přesměrování...
Botnet Asprox se rozšiřuje přes útoky SQL injection
Limbo hrozí internetovému bankovnictví přes HTML injection