Technika SQL injection - její metody a způsoby ochrany
SQL Injection Technique - its Methods and Methods of Protection
Abstract
SQL injection je technika namierená proti webovým aplikáciám využívajúcim SQL databázu, ktorá môže predstavovať obrovské bezpečnostné riziko. Ide v nej o vloženie kódu do SQL databáze, pričom tento útok využíva zraniteľnosti v databázovej alebo aplikačnej vrstve. Hlavným cieľom mojej diplomovej práce je oboznámenie sa s podstatou SQL injection, pochopenie jednotlivých metód tejto útočnej techniky a ukázanie si spôsobov ako sa proti nej možno brániť. Prácu možno rozdeliť na tieto hlavné časti, ktoré rozoberiem nasledovne. V úvodnej časti práce zmieňujem teoretické východiska týkajúce sa SQL injection problematiky. Nasledujúca kapitola je zameraná na jednotlivé metódy tejto techniky. Analytická časť je venovaná zmapovaniu súčasného stavu testovacích subjektov, skenovacích nástrojov, ktoré tvoria základ pre optimálne skúmanie a testovanie jednotlivých SQLi metód, ktoré sú v tejto časti rozobraté z praktického hľadiska spolu s analýzou príkazov. V poslednej časti budem implementovať SQLi metódy na vybrané subjekty a na základe výstupov vytvorím univerzálne návrhové riešenie ako sa proti takýmto útokom brániť. SQL injection is a technique directed against web applications using an SQL database, which can pose a huge security risk. It involves inserting code into an SQL database, and this attack exploits vulnerabilities in the database or application layer. The main goal of my thesis is to get acquainted with the essence of SQL injection, to understand the various methods of this attack technique and to show ways to defend against it. The work can be divided into these main parts, which I will discuss as follows.In the introductory part of the work I mention the theoretical basis concerning SQL injection issues. The next chapter is focused on individual methods of this technique. The analytical part is devoted to mapping the current state of test subjects, scanning tools, which form the basis for optimal research and testing of individual SQL methods, which are discussed in this part from a practical point of view along with the analysis of commands. In the last part I will implement SQL methods on selected subjects and based on the outputs I will create a universal design solution how to defend against such attacks.
Keywords
SQL, Cyber Security, SQL injection, SQLi, detection, Code Injection, cyber-attack, SQL, Cyber Security, SQL injection, SQLi, detection, Code Injection, cyber-attackLanguage
čeština (Czech)Study brunch
Informační managementComposition of Committee
doc. RNDr. Bedřich Půža, CSc. (předseda) doc. Ing. Radek Doskočil, Ph.D., MSc (místopředseda) doc. Mgr. Veronika Novotná, Ph.D. (člen) Ing. Jan Luhan, Ph.D., MSc (člen) Ing. Bernard Neuwirth, Ph.D., MSc (člen)Date of defence
2020-09-09Process of defence
otázka vedoucí - odpovězeno otázka oponent - odpovězeno doc. Doskočil - Vysvětlete, jak lze chápat jednotlivé typy ochran? odpovězeno doc. Doskočil - Z jakých podkladů jste vycházela při analýze rizik? odpovězeno Ing. Neuwirth - Zkoumala jste, zda čtyři techniky případové studie splňovaly požadavky již před Vaším testování? odpovězenoResult of the defence
práce byla úspěšně obhájenaPersistent identifier
http://hdl.handle.net/11012/195484Source
BAHUREKOVÁ, B. Technika SQL injection - její metody a způsoby ochrany [online]. Brno: Vysoké učení technické v Brně. Fakulta podnikatelská. 2020.Collections
- 2020 [357]