ASP.NET MVC - SQL Injection

ASP.NET MVC - SQL Injection | Rozvoj 2025
ASP.NET MVC - SQL Injection | Rozvoj 2025
Obsah
Existuje mnoho typů útoků, které můžeme v našich aplikacích přijímat, jeden z nejběžnějších, který může generovat velké množství škod, je SQL InjectionTento útok spočívá v hledání zranitelností ve způsobu, jakým zpracováváme dotazy proti databázím za účelem extrahování informací nebo vkládání hodnot, které mohou ovlivnit jeho funkčnost.
Abychom se chránili před tímto typem útoku, musíme nejprve vědět, z čeho se skládá, abychom se mohli naučit, jaký typ opatření musíme přijmout.
Jak jsme zmínili, tento útok způsobí, že naše databáze nebude správně fungovat, a proto útočník zavádí data, díky nimž naše dotazy selhávají podle určitých zranitelností, což může útočník zkusit získejte schémata našich tabulek nebo zadejte data, která mohou ohrozit provoz, jako např zadejte uživatele pro přístup do administrativní části naší aplikace.
Jedním z nejběžnějších způsobů je, že zadáváme parametry přímo, jak je přijímáme z řadičů, například máme vyhledávání podle kategorií a od ovladače dostáváme identifikátor kategorie, která má být prohledávána, pokud prochází přímo bez vyčištění může generovat útok, který útočníkovi ukáže všechny existující kategorie.
Podívejme se na následující nezabezpečený kód:

ZVĚTŠIT

Můžeme vidět, jak v řádek 6 stavíme podmínku hledání a poté v řádek 10 Předáme to přímo metodě, která vytváří dotaz, nezkušené oko nemusí vidět žádný problém, ale pokud útočník zadá následující parametr: „1 nebo 1 = 1“ můžete získat výpis celé naší tabulky.
Jak se chránit?Způsob, jak se v tomto případě chránit, prochází dvěma základními kroky První je, že nemůžeme dovolit, aby byla data prováděna přímo, jak je přijímáme, proto před dotazem musíme parametr vyčistit metodou, která hledá neplatné znaky a v případě jejich nalezení pošle uživatele na stránku 404 nebo Stránka nenalezena.
Podívejme se v následujícím kódu, jak můžeme filtrovat, co dostáváme:

Zde kontrolujeme pomocí a pravidelná fráze Necháme přijímat pouze čísla, jinak pošleme zprávu, každý si může vytvořit svoji verzi, ale důležité je řídit, co naše aplikace dostane.
The druhý krok k zamezení útoků je nepracujte se zástupným znakem „*“ a vždy omezit dotazy, když čekáme na záznam, tímto způsobem se vyhneme odhalení všech dat v případě, že se někomu podaří překročit naše prognózy.
Chytit výjimkyKonečně, pokud do naší aplikace vstoupí nelegální parametr, musíme se za každou cenu vyvarovat toho, aby se objevila stopa chyby, protože obsahuje citlivá data z naší instalace a může být použita proti nám, proto se musíme vždy ujistit, že zachytíme výjimky a odešlete personalizovanou zprávu, která neobsahuje mnoho podrobností, protože tyto detaily lze vidět ve vývojovém prostředí.
Jak jsme viděli, znalost útoků nám dává jiný pohled na to, jak můžeme chránit naši aplikaci a jak postupovat, abychom našim uživatelům poskytli větší zabezpečení.Líbil se vám tento návod a pomohl mu?Autora můžete odměnit stisknutím tohoto tlačítka, čímž mu dáte kladný bod
wave wave wave wave wave

Populární Příspěvky

wave
1
post-title
Jak nainstalovat MariaDB na CentOS 8
2
post-title
Aktivujte nový Průzkumník souborů Windows 10
3
post-title
Jak odebrat nebo vložit Flash oznámení Samsung Galaxy S10
4
post-title
Jak funguje a používá PDFelement pro převod PDF do Wordu a kopírování naskenovaného textu pomocí OCR
5
post-title
Jak změnit tapetu na Xiaomi Mi A2 Lite

Doporučená

wave
- Sponsored Ad -

Redakce Choice

wave
- Sponsored Ad -