O’zbekiston Respublikasi Axborot Texnologiyalari va
Komunikatsiyalarini rivojlantirish vazirligi
Muxammad Al-Xorazmiy nomidagi Toshkent axborot
Texnologiyalari universiteti
Amaliy ish
Bajardi:
Tekshirdi:
Toshkent -2023
2 – amaliy ish Mavzu: OWASP WebGoat simulyatorida SQL ineksiya tahdidini amalga oshirish Ishdan maqsad: Ma’lumotlar ba’zalariga bo‘ladigan SQL – ineksiya tahdidi haqidagi nazariy va amaliy bilim ko‘nikmalarni shakllantirish Nazariy qism
SQL ineksiya tahdidi ma’lumotlar bazasiga tegishli bo‘lgan tahdid bo‘lib, SQL so‘rovlarga taqiqlangan belgilarni kiritish va buning natijasida ma’lumotlar bazasida boshqa natija olishga qaratilgan. Bu tahdid turi eng ko‘p uchraydigan tahdid turi bo‘lib, uning hajmi yildan – yilga ortib bormoqda.
Sodda misol. Bu tahdidni tushunish uchun quyidagi sodda hayotiy misolni keltiraylik. “Alining otasi onasiga Aliga 100$ pul berish kerakligini yozib maktub qoldirdi.” Bu gapni SQL so‘rovi shaklida ifodalansa quyidagicha bo‘ladi: “cho‘ntagimdan 100$ OL VA HAMMASINI BER ALIGA”.
Qoldirilgan maktubni Alining akasi Vali ko‘rib qoldi. Vali bo‘lg‘usi xaker bo‘lganligi uchun, qoldirilgan maktubga “YoKI VALIGA” deb qo‘shib qo‘yadi.
Ona kelib maktubni oladi va kecha Aliga pul berganligi uchun pulni Valiga beradi. Bu SQL ineksiya tahdidiga bir hayotiy misol. Ona qoldirilgan maktubni filterlamaslik natijasida pulni Valiga berib yubordi.
SQL ineksiyaning 5 ta asosiy sinfi mavjud:
UNION query SQL injection. Ushbu tur ineksiyaning klassik ko‘rinish bo‘lib, bundan so‘rov “UNION ALL SELECT” dan takshil topgan bo‘ladi. Bu turdagi ineksiya SELECT dagi natija to‘g‘ridan – to‘g‘ri qaytarilganda yuzaga keladi.
Do'stlaringiz bilan baham: |