सुरक्षा में SQL इंजेक्शन क्या है?
SQL इंजेक्शन का उपयोग करने वाले साइबर हमले साइबर हमले हैं जिसमें हैकर डेटाबेस और संभावित मूल्यवान डेटा तक पहुंच प्राप्त करने के लिए SQL (स्ट्रक्चर्ड क्वेरी लैंग्वेज) कोड के एक टुकड़े का उपयोग करते हैं। इसका एक उदाहरण सोनी पिक्चर्स पर हालिया हमला है।
SQL इंजेक्शन क्या है और यह कैसे काम करता है?
SQL क्वेरी का इंजेक्शन (SQLi) वेब अनुप्रयोगों पर लक्षित एक साइबर हमला है जो IBM Db2 और Oracle जैसे SQL डेटाबेस पर निर्भर करता है। एक दुर्भावनापूर्ण SQL कथन को वेब एप्लिकेशन के डेटाबेस में अंतःक्षिप्त किया जाता है ताकि वह भेजे जाने वाले प्रश्नों में प्रवेश कर सके।
SQL इंजेक्शन क्या है और यह एक समस्या क्यों है?
एक हमलावर वेब भेद्यता का उपयोग करके SQL इंजेक्शन हमले को माउंट करने में सक्षम होता है जो उसे किसी एप्लिकेशन द्वारा बनाई गई डेटाबेस क्वेरी में हस्तक्षेप करने की अनुमति देता है। नतीजतन, एक हमलावर आमतौर पर उस डेटा तक पहुंच सकता है, जिस तक उसके पास सामान्य रूप से पहुंच नहीं होती है।
नेटवर्क सुरक्षा में इंजेक्शन क्या है?
जब हमलावर एक इंजेक्शन हमले को नियोजित करता है तो एक प्रोग्राम को अविश्वसनीय डेटा के साथ इंजेक्ट किया जाता है। इनपुट की हैंडलिंग के दौरान, एक दुभाषिया द्वारा कमांड और क्वेरी दोनों को प्रोसेस किया जाता है। वेब सुरक्षा विशेषज्ञ इस प्रकार के हमले को सबसे खतरनाक मानते हैं। OWASP शीर्ष 10 में वेब अनुप्रयोगों के लिए सबसे महत्वपूर्ण सुरक्षा जोखिम का मूल्यांकन किया गया - और इसके लिए एक अच्छा कारण है।
क्या SQL इंजेक्शन अब भी एक ख़तरा है?
एक धोखाधड़ी ऑपरेशन जिसने कई कंपनियों और उनके लाखों ग्राहकों से समझौता किया, SQL इंजेक्शन का फायदा उठाकर किया गया था। एक सेक्टर, SQL इंजेक्शन में हर समय सुधार हो रहा है, लेकिन यह एक महत्वपूर्ण खतरा बना हुआ है, जो पुराने और बिना पैच वाले सिस्टम को प्रभावित कर रहा है।
क्या SQL इंजेक्शन अभी भी 2020 काम करता है?
एक साधारण कारण के लिए ई का इस्तेमाल किया:यह काम करता है! SQL इंजेक्शन के हमले तब तक बड़े पैमाने पर होते रहेंगे, जब तक कि कमजोर प्लेटफॉर्म पर कमजोर वेब एप्लिकेशन चल रहे हों और उनके पीछे मुद्रीकरण योग्य जानकारी से भरे डेटाबेस हों," ट्रिपवायर के टिम एर्लिन, आईटी सुरक्षा और जोखिम रणनीति के निदेशक कहते हैं।
SQL इंजेक्शन हमले के तीन प्रकार क्या हैं?
ज्यादातर मामलों में, एसक्यूएल इंजेक्शन को तीन प्रकारों में व्यवस्थित किया जा सकता है:इन-बैंड एसक्यूएल इंजेक्शन (क्लासिक), इंफेरेंशियल एसक्यूएल इंजेक्शन (ब्लाइंड), और आउट-ऑफ-बैंड एसक्यूएल इंजेक्शन। SQL इंजेक्शन के विभिन्न प्रकार हैं; उनकी क्षति की संभावना और उत्पत्ति उन्हें वर्गीकृत करने के तरीके को निर्धारित करने वाले कारक हैं।
SQL इंजेक्शन सुरक्षा समस्या क्या है?
SQL इंजेक्शन डेटाबेस में डेटा इंजेक्ट करने की एक विधि है। एक हमलावर वेब भेद्यता का उपयोग करके SQL इंजेक्शन हमले को माउंट करने में सक्षम होता है जो उसे किसी एप्लिकेशन द्वारा बनाई गई डेटाबेस क्वेरी में हस्तक्षेप करने की अनुमति देता है। नतीजतन, एक हमलावर आमतौर पर उस डेटा तक पहुंच सकता है, जिस तक उसके पास सामान्य रूप से पहुंच नहीं होती है।
क्या SQL इंजेक्शन सुरक्षित है?
संग्रहीत कार्यविधियों का उपयोग करते समय आपको हमेशा SQL इंजेक्शन के बारे में सावधान रहना चाहिए। संग्रहीत कार्यविधि को इनपुट सत्यापन या उचित एस्केपिंग का उपयोग करना चाहिए, जैसा कि इस आलेख में वर्णित है, यह सुनिश्चित करने के लिए कि उपयोगकर्ता इनपुट का उपयोग SQL कोड को इंजेक्ट करके गतिशील क्वेरी बनाने के लिए नहीं किया जाता है।
SQL इंजेक्शन कमजोरियों का क्या कारण है?
सबसे पहले, एक हमलावर को एक SQL इंजेक्शन हमला शुरू करने से पहले एक वेब पेज या वेब एप्लिकेशन पर कमजोर इनपुट मिलना चाहिए। इस तरह के उपयोगकर्ता इनपुट को सीधे वेब पेज या वेब एप्लिकेशन पर SQL क्वेरी में फीड किया जाता है जो SQL इंजेक्शन के लिए असुरक्षित है। एक हमलावर के लिए इनपुट सामग्री बनाना संभव है।
SQL इंजेक्शन उदाहरण कैसे काम करता है?
एसक्यूएल इंजेक्शन का एक उदाहरण छिपे हुए डेटा को पुनः प्राप्त करना होगा, जहां नियमित परिणामों के अतिरिक्त आप एसक्यूएल क्वेरी को संशोधित करके अतिरिक्त परिणाम भी प्राप्त कर सकते हैं। एप्लिकेशन लॉजिक को बदलने के कार्य में एक क्वेरी को बदलना शामिल है जिससे एप्लिकेशन का लॉजिक बाधित हो जाएगा। UNION हमला एक प्रकार का पुनर्प्राप्ति हमला है जो कई डेटाबेस से डेटा वापस करने के लिए एक डेटाबेस तालिका का उपयोग करता है।
एसक्यूएल इंजेक्शन रक्षा तंत्र में कैसे काम करता है?
यह किसी फ़ील्ड में SQL क्वेरी डालने और फिर उस क्वेरी को प्रोसेसिंग के लिए अंतर्निहित SQL डेटाबेस में उपलब्ध कराने के लिए एक तकनीकी शब्द है। इसके बाद उन उपयोगकर्ताओं द्वारा दुरुपयोग किया जा सकता है जो सीधे प्रवेश प्रपत्रों से SQL क्वेरी उत्पन्न कर सकते हैं।
SQL इंजेक्शन के जोखिम क्या हैं?
यदि कोई संगठन SQL इंजेक्शन हमले का शिकार है, तो उसे गंभीर सुरक्षा उल्लंघन का सामना करना पड़ सकता है। यदि SQL इंजेक्शन हमला सफल होता है, तो गोपनीय डेटा हटाया जा सकता है, खो सकता है, चोरी हो सकता है, वेबसाइटों को विरूपित किया जा सकता है, सिस्टम और खातों को प्राधिकरण के बिना एक्सेस किया जा सकता है, और व्यक्तिगत मशीनों या पूरे नेटवर्क से समझौता किया जा सकता है।
इंजेक्शन कमजोरियां क्या हैं?
वेब एप्लिकेशन पर अविश्वसनीय उपयोगकर्ता डेटा भेजकर, एक इंजेक्शन दोष बनाया जा सकता है। आप वेब एप्लिकेशन के भीतर विभिन्न स्थानों में इंजेक्शन कमजोरियां पा सकते हैं जो किसी दुर्भावनापूर्ण उपयोगकर्ता के इनपुट को सर्वर पर भेजने की अनुमति दे सकते हैं।
नेटवर्किंग में इंजेक्शन क्या है?
नेटवर्क कनेक्शन में हस्तक्षेप करने के लिए जाली पैकेट या स्पूफिंग पैकेट के माध्यम से संचार करने का कार्य नेटवर्किंग में है। पैकेट या तो विश्वसनीय कार्यक्रमों का उपयोग करके बनाए जा सकते हैं, या उन्हें खरोंच से बनाया जा सकता है।