Ασφάλεια στο διαδίκτυο: επιθέσεις SQL injection

Abstract

Την τελευταία δεκαετία, η ραγδαία ανάπτυξη του διαδικτύου, έχει σαν αποτέλεσμα να εκτίθεται στον παγκόσμιο ιστό ένας τεράστιος όγκος πληροφοριών. Αυτές όλες οι πληροφορίες, στις περισσότερες των περιπτώσεων, αφορούν χρήστες του διαδικτύου, οι οποίοι αγνοούν τους κινδύνους που ελλοχεύουν. Είναι πολλές οι φορές που οποιοσδήποτε από εμάς, έχει εισάγει τα προσωπικά του στοιχεία σε μία ιστοσελίδα ή ένα forum, χωρίς να έχει αναρωτηθεί κατά πόσον αυτή εφαρμογή είναι ασφαλής. Είναι σύνηθες να θεωρούμε εκ των προτέρων μια εφαρμογή ασφαλής. Ωστόσο, η έκθεση των ιστοσελίδων στον παγκόσμιο ιστό, τις καθιστά διαρκώς πιθανούς στόχους. Σύμφωνα με την ετήσια αναφορά του οργανισμού Impreva (Imperva Web Application Attack Report), κάθε εφαρμογή που είναι εκτεθειμένη στον παγκόσμιο ιστό δέχεται στατιστικά μία επίθεση κάθε δύο λεπτά. Αυτό το στοιχείο από μόνο του αναδεικνύει την ανάγκη της θωράκισης των διαδικτυακών εφαρμογών. Το μεγαλύτερο ποσοστό του συνόλου των web επιθέσεων, πραγματοποιείται με τη χρήση της τεχνικής SQL Injection. Παρόλο που δεν είναι εφικτό να γνωρίζουμε ακριβώς πόσες επιθέσεις έχουν πραγματοποιηθεί με αυτή την τεχνική, εκτιμάται ότι το 60% των επιθέσεων που πραγματοποιούνται στο διαδίκτυο σχετίζονται με την SQL Injection. Στην παρούσα εργασία παρουσιάζονται διάφορες εφαρμογές των SQL Injection επιθέσεων με παραδείγματα. Κατόπιν πραγματοποιείται μία ολοκληρωμένη επίθεση σε μια πλήρως λειτουργική web εφαρμογή και έπειτα γίνεται μια προσπάθεια να θωρακιστεί αυτή η εφαρμογή και να καταστούν τέτοιου είδους επιθέσεις ανέφικτες.