สารบัญ:
คำจำกัดความ - SQL Injection Attack หมายถึงอะไร
การโจมตีการฉีด SQL เป็นความพยายามที่จะออกคำสั่ง SQL ไปยังฐานข้อมูลผ่านทางเว็บไซต์อินเตอร์เฟส นี่คือการได้รับข้อมูลฐานข้อมูลที่เก็บไว้รวมถึงชื่อผู้ใช้และรหัสผ่าน
เทคนิคการฉีดรหัสนี้ใช้ช่องโหว่ด้านความปลอดภัยในเลเยอร์ฐานข้อมูลของแอปพลิเคชัน แฮกเกอร์ใช้ประโยชน์จากเว็บไซต์ที่เขียนโค้ดไม่ดีและเว็บแอปเพื่อฉีดคำสั่ง SQL ตัวอย่างเช่นการใช้ประโยชน์จากแบบฟอร์มการเข้าสู่ระบบเพื่อเข้าถึงข้อมูลที่เก็บไว้ในฐานข้อมูล
กล่าวอย่างง่าย ๆ การโจมตีด้วยการฉีด SQL เกิดขึ้นเนื่องจากฟิลด์อินพุตของผู้ใช้อนุญาตให้คำสั่ง SQL ผ่านและสอบถามฐานข้อมูลโดยตรง
Techopedia อธิบาย SQL Injection Attack
เว็บไซต์สมัยใหม่ประกอบด้วยหน้าเข้าสู่ระบบหน้าค้นหาการสนับสนุนและแบบฟอร์มคำขอผลิตภัณฑ์ตะกร้าสินค้าแบบฟอร์มคำติชมและอื่น ๆ
คุณสมบัติเว็บไซต์เหล่านี้ล้วน แต่เสี่ยงต่อการถูกโจมตีจากการฉีด SQL เนื่องจากความพร้อมใช้งานของช่องป้อนข้อมูลผู้ใช้ ผู้โจมตีสามารถรันคำสั่ง SQL โดยพลการได้อย่างง่ายดายหากเว็บไซต์เหล่านี้มีแนวโน้มที่จะฉีด SQL สิ่งนี้อาจลดความสมบูรณ์ของฐานข้อมูลและสามารถเปิดเผยข้อมูลที่ละเอียดอ่อนได้
ขึ้นอยู่กับฐานข้อมูล back-end ที่ใช้ช่องโหว่การฉีด SQL อาจส่งผลให้เกิดการโจมตีในระดับต่าง ๆ ผู้โจมตีอาจจัดการเคียวรีที่มีอยู่ใช้การเลือกย่อยหรือเพิ่มเคียวรีเพิ่มเติม ในบางกรณีอาจเป็นไปได้ที่จะอ่านหรือเขียนลงไฟล์ นอกจากนี้ผู้โจมตีอาจรันคำสั่งเชลล์บนระบบปฏิบัติการรูต (OS)
เซิร์ฟเวอร์ SQL บางตัวเช่น Microsoft SQL Server รวมโพรซีเดอร์ที่เก็บและขยาย หากผู้โจมตีการฉีด SQL ได้รับการเข้าถึงโพรซีเดอร์เหล่านี้มันสามารถนำไปสู่ผลลัพธ์ที่ไม่พึงประสงค์อย่างมาก รหัสเว็บไซต์ที่ไม่ถูกต้องและ webapps มักจะมีแนวโน้มที่จะถูกโจมตีแบบนี้
วิธีที่เหมาะที่สุดในการหลีกเลี่ยงการโจมตีด้วยการฉีดคือการตรวจหาช่องโหว่ของเว็บไซต์และเว็บแอพก่อนที่จะเผยแพร่ มีเครื่องสแกนการฉีด SQL อัตโนมัติซึ่งช่วยให้ผู้ทดสอบการเจาะตรวจสอบช่องโหว่ของเว็บไซต์และเว็บแอพสำหรับการโจมตีการฉีด SQL ที่มีศักยภาพ
สิ่งนี้จะช่วยให้ผู้ดูแลเว็บสามารถแก้ไขโค้ดที่มีช่องโหว่ได้ทันทีและปกป้องเว็บไซต์จากการโจมตีด้วย SQL injection
