Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz

173 views

Published on

Bezpieczeństwo Aplikacji Internetowych – SQL Injection

Published in: Software
  • Be the first to comment

  • Be the first to like this

TGT#10 - Bezpieczeństwo Aplikacji Internetowych – SQL Injection - Robert Charewicz

  1. 1. Robert Charewicz Gdańsk, 8 czerwca 2016
  2. 2. Background •Coraz więcej osób na świecie dostaje możliwość podłączenia się do Internetu •Przetwarzamy olbrzymie (tylko > 1 ZB w 2015) ilości danych … •... u 2,4 mld użytkowników (2014) ...
  3. 3. SQL Injection Nieupoważnione wykonanie* kodu SQL na systemie lub urządzeniu zdalnym agregującym dane. * Mające często na celu kradzież tych danych lub zniszczenie bazy – to już zależy od intencji atakującego!
  4. 4. Opis ataku • http://sekurak.pl/wp-content/uploads/2013/06/sql_query_1.png (Sekurak) • http://sekurak.pl/wp-content/uploads/2013/06/sql_injection2.png (Sekurak)
  5. 5. Demonstracja Przykłady ataku SQL Injection Wykorzystanie programu sqlmap
  6. 6. Jak się bronić •Walidacja danych po stronie klienta i serwera (!) •Odcięcie dostępu zdalnego do serwera – tylko dostęp lokalny •Utworzenie użytkowników z prawami tylko do określonych operacji na bazie danych •Użycie procedur składowanych
  7. 7. Ciekawostki • SQL Injection występujące w nazwie firmy: Dariusz Jakubowski x’; DROP TABLE users; SELECT ‘1 • https://niebezpiecznik.pl/post/jego-firma-ma-w-nazwie-sql-injection- nie-zazdroscimy-tym-ktorzy-beda-go-fakturowali/ • Błąd SQL na paragonie • https://niebezpiecznik.pl/post/sql-injection-w-paragonie/
  8. 8. Ciekawostki

×