Primul portal
dedicat controlului riscurilor.
 Luni, 21 august 2017

Alerte de risc NOU!
Prezentare alerte de risc
Modele de alerte de risc
Resurse
Știri
Anunturi
Articole si recenzii
Legislatie specifica
Glosare
Întrebari & raspunsuri
Programe TV
Download software
Ghiduri practice
Cursuri si seminarii NOU!
Utile
Interactiv
Newsletter
Prognoze de risc
Chestionar
Prevenirea pierderilor
Pentru companii
Pentru persoane
Clasificarea riscurilor
Furnizori de solutii
Securitate fizica
Asigurari
Consultanta
Securitate IT&C
Auto si accesorii
Proprietate intelectuala
Instrumente financiare
Diverse
Bursa solutii preventive
Cereri de oferta
Promovare
Despre noi
Oferta publicitate
Sponsori
Contactati-ne

 
Cabinet avocat Bucuresti

   
  HOME    Detalii :: Glosare
Atac prin inserție SQL

Este numit și SQL Injection; desemnează o categorie de atacuri îndreptate asupra bazelor de date care oferă o interfață interactivă cu exteriorul, atacuri care exploatează deficiențe de proiectare ale interfeței respective. Denumirea este dată de numele celui mai popular limbaj utilizat în prezent pentru manipularea datelor în sistemele de gestiune a bazelor de date (SQL - Structured Query Language), atacul constând în a "convinge" sistemul să execute cod SQL pe care în mod normal nu ar trebui să aiba voie să-l execute. Scenariul clasic e acela al unei baze de date cu care utilizatorul interacționează prin intermediul unei pagini web, completând câmpuri într-un formular online și apoi așteptând din partea sistemului o serie de rezultate determinate pe baza valorilor introduse. Iată un scurt exemplu: să presupunem, pentru simplitate, că un sistem gestionează o bază de date cu produse, informațiile fiind stocate într-un tabel denumit, să spunem, tbl_prod, iar utilizatorului i se oferă un formular cu un câmp în care poate completa un preț, urmând ca sistemul să afișeze lista produselor având prețul respectiv. Daca utilizatorul introduce, să spunem, valoarea 550, sistemul ar urma să execute o interogare SQL de forma:

SELECT * FROM tbl_prod WHERE price = 550

Dacă însă utilizatorului i se permite să introducă orice în câmpul din formular, iar sistemul acceptă interogări SQL multiple, separate, să spunem prin caracterul ; (punct si virgula), atunci textul "45; DELETE * FROM tbl_prod" introdus de utilizator declanșează un răspuns de forma:

SELECT * FROM tbl_prod WHERE price = 45; DELETE * FROM tbl_prod

ceea ce are ca efect ștergerea datelor din tabelul respectiv.



Alte stiri si articole din aceeasi categorie:
Stiri
IT Security 2009: Facts and Trends

Increderea in comertul electronic in scadere

Combinatia Internet Explorer - Google Desktop Search prezinta un risc mare de securitate

Peste 84.000 de utilizatori ai instrumentelor de plata cu acces la distanta

Tranzactiile online presupun tot mai multe riscuri

Managementul riscurilor informatice - studiu al EIU

Atacuri informatice asupra posesorilor de carduri Visa

Noi standarde adoptate în IT în anul 2005

Nou studiu privind efectele telefoanelor mobile asupra sanatatii

Instrumentele de plată la distanță avizate de MCTI

Articole
Cum sa va feriti de fraudele bancare

Analiza GECAD NET privind vulnerabilitatile informatice; Prognoze 2006

Starea securității IT în 2006 si prognoza pentru 2007



inapoi


recomanda acest site  |  printeaza pagina printeaza pagina
  Copyright © 2002 - 2009 Inoventis srl
  Toate drepturile rezervate.
Regulamentul de utilizare | Harta site-ului | Contact