QL Injection Verizon'un en sık rastlanan 15 güvenlik saldırısı listesinde 3. sıradaydı. SQL enjeksiyon saldırılarına alınan önlemler veri güvenliği veya haber sitelerinde manşet olma ile sonuçlanabilir. Bu yazıda veritabanı ve uygulamalarınızı korumada işinize yarayacak bir kaç tavsiye vereceğim.
6 aralıkta bir araştırmacı SQL enjeksiyon ile bazı NASA web sitelerine sızdığının kanıtlarını yayınladı. NASA için tek iyi yanı, amacın sadece sitelerin zayıflığını göstermek olması.
Diğer siteler için ise durum daha kötü olabiliyor. Binlerce web sitesine sızma haberleri geçtiğimiz günlerde yayınlandı (Potent Backdoor/Data Theft Cocktail ile 55,000 sızma).
http://blog.scansafe.com/journal/2009/8 ... ktail.html
Piyasadaki tüm güvenlik araçlarına rağmen, SQL Enjeksiyon verizon'un 9 aralıkta yayınladığı "En sık rastlanan 15 güvenlik saldırısı" listesinde 3. sıradaydı.
Raporda "En basit anlamıyla, SQL enjeksiyon saldırıları kullanıcı girişlerinin doğru olarak kontrol edilmemesinden faydalanmak" olarak bahsediliyor: "Buna daha çok özel geliştirilen uygulamalar ve Web arayüzlerinde rastlanıyor... Dahası, SQL enjeksiyon saldırıları, mzellikle veri ele geçirme senaryolarında, gittikçe daha da sofistike hale geliyor. Amaç genelde sistemlere daha derin erişim sağlamak ve zararlı yazılım yüklemek".
eWEEK SQL enjeksiyon saldırılarına karşı korunmada yardımcı olacak bir kaç ipucu yayınladı.
1) Kodu düzeltmek: WhiteHat Security firmasından Jeremiah Grossman'a göre geliştiriciler ESAPI geliştirme iskelet yapıları ile (framework) parametreleştirilmiş SQL sorguları kullanmalılar. Ayrıca kullanıcı girişlerinin doğru olarak kontrol edilmesini sağlamalılar. Kötü amaçlı kullanılan karakterleri filtrelemek veya sadece izin verilen tipteki verileri kabul edecek şekilde filtrelemek de yöntemler arasında.
2) Geliştirici eğitimi: IBM tarafından satın alınan Guardium firması güvenlik stratejileri başkanı Phil Neray "En önemli nokta web geliştiricleri nasıl güvenli uygulama geliştirecekleri konusunda eğitmek" diyor.
3) Teknoloji kullanımı: Çoğu firma güvenlik zayıflıklarını bulmak için yeterli kod taraması yapmıyorlar. Ayrıca web uygulama güvenlik duvarları ve veritabanı izleme teknolojileri kullanmalılar. ICSA laboratuvarları güvenlik duvarı program yöneticisi Brian Monkman "Bu tip araçları kullanmanın problemler ortaya çıkmadan tüm önlemlerin alınması" anlamına geldiğini söylüyor.
4) Konfigürasyon yönetimi: Geliştiriciler detaylı hata mesajları göstermemelirler. Bu sayede saldırganlar neden başarısız olduklarını anlamakta daha da zorlanırlar.
Özet olarak, SQL enjeksiyon saldırılarına karşı koruma sağlamak hem dahili hem de harici güvenliğin bir kombinasyonunu gerektirir.
Kritik verilerinizin nerelerde olduğunu (veritabanı) düşünün ve saldırganların ve içeridekilerin verilere nasıl eriştiğini (uygulamalar) düşünün. Her iki katmanda da gerçek zamanlı güvenlik sağlayacak bir strateji geliştirin.
Kaynak: eweek.com
SQL Enjeksiyona karşı 4 veritabanı güvenlik tavsiyesi
-
velociraptor
- Yottabyte4
- Mesajlar: 53488
- Kayıt: 14 Mar 2006, 02:33
- cinsiyet: Erkek
- Teşekkür etti: 19208 kez
- Teşekkür edildi: 11809 kez