Tipy, jak se ochránit proti SQL injection: URL, uložené procedury, speciální obchodní pravidla pro vstup

16. 10. 2008

Sdílet

Ryan Barnett z firmy Breach Security napsal pro americký Network World krátký komentář obsahující tipy, jak se bránit proti útoku SQL injection.

Ryan Barnett z firmy Breach Security napsal pro americký Network World krátký komentář obsahující tipy, jak se bránit proti útoku SQL injection.

- URL posílaná uživateli by neměla obsahovat informace, z nichž lze zjistit verzi databázového serveru a formát, v němž jsou zde data ukládána, například názvy tabulek a sloupců. Loni se ovšem objevily i nástroje pro masivní automatizované útoky, při nichž se podvodníci zjišťováním struktury jednotlivé databáze nezatěžují.
- stojí za to v adrese skrývat i další technologie používané na webovém serveru (ASP, PHP apod.)
- nutností je samozřejmě kontrola vstupu podle délky řetězce, jeho typu, syntaxe, ale i podle specifických „obchodních pravidel“; jejich definici je třeba věnovat pozornost
- na neodpovídající vstup by server neměl vracet žádnou chybovou hlášku, z níž lze vyčíst další informace (viz bod 1). Existují sice i nástroje na odstranění potenciálně nebezpečných dat, která se dostanou do databáze, je však rozhodně bezpečnější tomu předejít
- používat speciální firewall určený pro webové aplikace
- náležitá péče o uložené procedury v databázi, o API používané při jejich volání i opatření proti podvržení uložených procedur

Zdroj: PCWorld.com

Viz také:
Cesta útočníků: SQL injection, JavaScript, přesměrování...
Botnet Asprox se rozšiřuje přes útoky SQL injection
Limbo hrozí internetovému bankovnictví přes HTML injection

Autor článku