этом - Xakep Online

72 SPECIAL DELIVERY ÑÏÅÖ 02-07S P E I A L Î Ï Ð Î ÑÀËÅÊÑÀÍÄÐÀÍÒÈÏÎÂÐóêîâîäèòåëü ïðîåêòà,àâòîð/ñîàâòîð/ðåäàêòîðìíîãî÷èñëåííûõ ñòàòåéâåäóùåãî îòå÷åñòâåííîãîïîðòàëà, ïîñâÿùåííîãîèíôîðìàöèîííîéáåçîïàñíîñòèSecurityLab.ruÂÀËÅÐÈßÊÎÌÈÑÑÀÐÎÂÀÈìååò ñòàòóñ MicrosoftStudent Partnerè ñåðòèôèêàòûñïåöèàëèñòà Microsoftè ðàçðàáîò÷èêà ðåøåíèéíà C# ïîä .NETÏÐÎÁËÅÌÛ Ñ SQL INJECTIONÏÎËÓ×ÈËÈ ØÈÐÎÊÓÞ ÎÃËÀÑÊÓÁËÀÃÎÄÀÐß ÓßÇÂÈÌÎÑÒÈ ÑÀÉÒÎÂ,ÒÀÊ ÊÀÊ WEB — ÌÀÑÑÎÂÛÉÏÐÎÄÓÊÒ. ÍÎ ÃÄÅ ÅÙÅ ÌÎÆÍÎÂÑÒÐÅÒÈÒÜ SQL INJECTION?ÌÈÕÀÈËÔËÅÍÎÂÑîçäàòåëü ñàéòàwww.vr-online.ru, àâòîð11 êíèã íà ðóññêîìè 4 íà àíãëèéñêîì ÿçûêåÀÍÒÎÍÊÀÐÏÎÂÑïåöèàëèñò â îáëàñòèèíôîðìàöèîííîéáåçîïàñíîñòè. Êðóãïðîôåññèîíàëüíûõèíòåðåñîâ: ñåòåâûå àòàêè,áåçîïàñíîñòü UNIXñèñòåì,áåçîïàñíîñòüáåñïðîâîäíûõ ñåòåéÊÐÈÑÊÀÑÏÅÐÑÊÈÊîìïüþòåðû ãðûçåò åùåñ òåõ äàâíèõ âðåìåí,êîãäà Ïðàâåö-8Äñ÷èòàëñÿ êðóòîé ìàøèíîé,à äèñêîâîä ñ ìîíèòîðîìáûëè âåðõîì ìå÷òàíèé.Îñâîèë êó÷ó ÿçûêîâè îïåðàöèîííûõ ñèñòåì,èç êîòîðûõ ðåàëüíîèñïîëüçóåò W2K, à ëþáèòFreeBSD 4.5ÂÀËÅÐÈß ÊÎÌÈÑÑÀÐÎÂÀ: Ãëàâíîå â SQL Injection íå òî, ÷òî ýòà óÿçâèìîñòüàêòèâíî ýêñïëóàòèðóåòñÿ â web-ïðèëîæåíèÿõ, à òî, ÷òî îíà ìîæåò áûòüèñïîëüçîâàíà àáñîëþòíî âî âñåõ ïðèëîæåíèÿõ, íàïèñàííûõ íà ëþáûõ ÿçûêàõïðîãðàììèðîâàíèÿ, â êîòîðûõ èñïîëüçîâàíû SQL-çàïðîñû (âåäü ïðàêòè÷åñêèâ êàæäûé èç íèõ ìîæíî âíåäðèòü îïàñíûå SQL-èíúåêöèè).ÀÍÒÎÍ ÊÀÐÏÎÂ: Î÷åâèäíî, âåçäå, ãäå òðåáóåòñÿ ââîä äàííûõ îò ïîëüçîâàòåëÿ,à áàçû äàííûõ èñïîëüçóþòñÿ â êà÷åñòâå backend'à äëÿ õðàíåíèÿ èíôîðìàöèè.Ýòî ìîæåò áûòü íå òîëüêî îíëàéí-ìàãàçèí èëè âåá-ôîðóì (õîòÿ ïîíÿòíî,÷òî www ÿâëÿåòñÿ íàèáîëåå øèðîêîé îáëàñòüþ ïðèìåíåíèÿ SQL Injection).Ýòî ìîæåò áûòü ëþáîå ïðèëîæåíèå, êîòîðîå õðàíèò èíôîðìàöèþ â áàçåäàííûõ è ïðåäîñòàâëÿåò èíòåðôåéñ äëÿ äîñòóïà ê íåé.ÊÐÈÑ ÊÀÑÏÅÐÑÊÈ: Íàâåðíîå, âåçäå, ãäå ñòîèò SQL, îáðàáàòûâàþùèéíå îòôèëüòðîâàííûå ïîëüçîâàòåëüñêèå çàïðîñû. Ìíîãèå ïðîãðàììû, ðàáîòàþùèåñ áàçàìè äàííûõ, èñïîëüçóþò SQL. Êëèåíòñêîå ïðèëîæåíèå âçàèìîäåéñòâóåòñ ïîëüçîâàòåëåì è ãåíåðèðóåò sql-çàïðîñû, ïîñûëàÿ èõ ñåðâåðó. Âïðàâèëüíî ñïðîåêòèðîâàííîé ñèñòåìå ðàçãðàíè÷åíèå äîñòóïà ê äàííûì îñóùåñòâëÿåòñÿíà ñåðâåðå. Êëèåíòà ýòî âîîáùå íå êàñàåòñÿ, — îí âïðàâå ñëàòüëþáûå çàïðîñû. Íî äàëåêî íå âñå ðàçðàáîò÷èêè ýòî ïîíèìàþò (èëè ðåàëèçóþòäîëæíûì îáðàçîì).  ðåçóëüòàòå ÷àñòü (èëè âñå) ïðîâåðêè íà íàëè÷èå ó ïîëüçîâàòåëÿïðàâ âûïîëíÿòü äàííóþ sql-îïåðàöèþ îñóùåñòâëÿþòñÿ íà êëèåíòñêîéñòîðîíå, âíóòðè ïðîãðàììû. Îáû÷íûé ïîëüçîâàòåëü, äåéñòâèòåëüíî, íåìîæåò îáîéòè çàùèòó, òàê êàê íàòàëêèâàåòñÿ íà èíòåðôåéñ, íî õàêåð ëåãêî íàïðàâèòçàïðîñ ê sql-ñåðâåðó ïî Ñåòè è òîò ïîñëóøíî âûïîëíèò åãî ñî âñåìèâûòåêàþùèìè îòñþäà ïîñëåäñòâèÿìè (à èíîãäà íèêàêîé Ñåòè âîîáùå íåò,«sql-ñåðâåð» ïðåäñòàâëÿåò ñîáîé ëîêàëüíóþ ïðîãðàììó). Òåì íå ìåíåå, webèíòåðôåéñÿâëÿåòñÿ îäíèì èç ñàìûõ ïîïóëÿðíûõ ñïîñîáîâ âçàèìîäåéñòâèÿ ñáàçàìè äàííûõ (îñîáåííî óäàëåííûìè), è àêòóàëüíîñòü àòàê òèïà SQL Injectionâ îáîçðèìîì áóäóùåì ñíèæàòüñÿ íå áóäåò.