Technika SQL injection - její metody a způsoby ochrany

Thumbnail Image
Files
final-thesis.pdf(3.45 MB)
review_127646.html(5.41 KB)
Date
Authors
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta podnikatelská
Abstract
SQL injection je technika namierená proti webovým aplikáciám využívajúcim SQL databázu, ktorá môže predstavovať obrovské bezpečnostné riziko. Ide v nej o vloženie kódu do SQL databáze, pričom tento útok využíva zraniteľnosti v databázovej alebo aplikačnej vrstve. Hlavným cieľom mojej diplomovej práce je oboznámenie sa s podstatou SQL injection, pochopenie jednotlivých metód tejto útočnej techniky a ukázanie si spôsobov ako sa proti nej možno brániť. Prácu možno rozdeliť na tieto hlavné časti, ktoré rozoberiem nasledovne. V úvodnej časti práce zmieňujem teoretické východiska týkajúce sa SQL injection problematiky. Nasledujúca kapitola je zameraná na jednotlivé metódy tejto techniky. Analytická časť je venovaná zmapovaniu súčasného stavu testovacích subjektov, skenovacích nástrojov, ktoré tvoria základ pre optimálne skúmanie a testovanie jednotlivých SQLi metód, ktoré sú v tejto časti rozobraté z praktického hľadiska spolu s analýzou príkazov. V poslednej časti budem implementovať SQLi metódy na vybrané subjekty a na základe výstupov vytvorím univerzálne návrhové riešenie ako sa proti takýmto útokom brániť.
SQL injection is a technique directed against web applications using an SQL database, which can pose a huge security risk. It involves inserting code into an SQL database, and this attack exploits vulnerabilities in the database or application layer. The main goal of my thesis is to get acquainted with the essence of SQL injection, to understand the various methods of this attack technique and to show ways to defend against it. The work can be divided into these main parts, which I will discuss as follows.In the introductory part of the work I mention the theoretical basis concerning SQL injection issues. The next chapter is focused on individual methods of this technique. The analytical part is devoted to mapping the current state of test subjects, scanning tools, which form the basis for optimal research and testing of individual SQL methods, which are discussed in this part from a practical point of view along with the analysis of commands. In the last part I will implement SQL methods on selected subjects and based on the outputs I will create a universal design solution how to defend against such attacks.
Description
Keywords
SQL, Cyber Security, SQL injection, SQLi, detection, Code Injection, cyber-attack, SQL, Cyber Security, SQL injection, SQLi, detection, Code Injection, cyber-attack
Citation
BAHUREKOVÁ, B. Technika SQL injection - její metody a způsoby ochrany [online]. Brno: Vysoké učení technické v Brně. Fakulta podnikatelská. 2020.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Informační management
Comittee
doc. RNDr. Bedřich Půža, CSc. (předseda) doc. Ing. Radek Doskočil, Ph.D., MSc (místopředseda) doc. Mgr. Veronika Novotná, Ph.D. (člen) Ing. Jan Luhan, Ph.D., MSc (člen) Ing. Bernard Neuwirth, Ph.D., MSc (člen)
Date of acceptance
2020-09-09
Defence
otázka vedoucí - odpovězeno otázka oponent - odpovězeno doc. Doskočil - Vysvětlete, jak lze chápat jednotlivé typy ochran? odpovězeno doc. Doskočil - Z jakých podkladů jste vycházela při analýze rizik? odpovězeno Ing. Neuwirth - Zkoumala jste, zda čtyři techniky případové studie splňovaly požadavky již před Vaším testování? odpovězeno
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení
DOI
URI
http://hdl.handle.net/11012/195484
Collections
2020
Citace PRO