Sql-injecție cum să hack site-ul și cum să-l protejeze

Bună ziua tuturor, astăzi nu este un post obișnuit. De fapt, nu sunt un fan al acestor injecții SQL și alte zguri în ceea ce privește infectarea site-urilor web cu viruși.

Dar, totuși, problema de astăzi este cu adevărat urgentă.

Deci, în acest articol voi încerca să spun ceva despre cum să descompun site-urile, să vorbesc despre modul în care am tratat site-urile clientului și să fac o ofertă interesantă pentru fiecare cititor!

Injecția SQL este o modalitate de hack a unui site, sau mai degrabă a bazei sale de date.

Ce este SQL?

Înainte de a continua să descriem procesul de hacking folosind injecția SQL, înțelegeți mai întâi ce este SQL. SQL este un limbaj de programare care funcționează cu baze de date. Cu această limbă, informațiile sunt adăugate la baza de date și șterse. Citirea, editarea și alte acțiuni se fac folosind SQL.

Ce este injecția SOL?

În termeni simpli, acestea sunt atacuri asupra bazei de date. Acest atac forteaza codul pe care programatorul la scris sa nu functioneze asa cum a fost planificat.

Un exemplu din viață. Tata a lăsat o notă pe biroul său mamei sale "Dă-i lui Vanya 10 ruble", dar a scris o notă într-un scrierie stîngace. Savantul fiul Vanya a venit mai devreme decât mama sa și a adăugat un alt zero. O scrisoare cu următorul conținut a fost primită: "Dați Vanya 100 de ruble".

Deci, nota din exemplu este interogarea SQL pe care tatăl la trimis mamei, iar fiul viclean este un hacker care poate schimba cererile deoarece știe cum funcționează.

Sql-injecție cum să hack site-ul și cum să-l protejeze

Cum funcționează injecția SQL

Merită să spunem că există protecție împotriva acestor atacuri și va fi discutată ulterior. Deci, în primul rând, înainte de hacking site-ul trebuie să stabiliți dacă se poate face. Acest lucru este determinat folosind câteva interogări SQL trimise pe site. Deci, dacă astfel de cereri nu dau rezultate, atunci site-ul este protejat și injecțiile SQL sunt inutile. Dar jumătate din site-urile de pe Internet nu utilizează nicio protecție.

În cazul în care cererile trimise să știe că nu există nicio protecție pe site, atunci puteți să-l rupeți în siguranță. După cum sa menționat în secțiunea anterioară, injecțiile SQL se fac prin trimiterea de comenzi în loc de datele pe care site-ul așteaptă. Echipele pot fi diferite. Iar munca acestor echipe depinde de gradul de protecție a site-ului.

  • Logins și parole
  • Informații despre clienți
  • Magazine online de produse
  • Comenzi pe site-uri
  • corespondență
  • Pagini ascunse
  • Protecție împotriva injecțiilor SQL

Archimedes a spus: "Pentru fiecare acțiune există opoziție." Puteți să luptați cu astfel de atacuri. Primul mod de abordare a acestora este filtrarea datelor trimise pe site.

Dacă se așteaptă ca utilizatorul să introducă un număr, cum ar fi anul nașterii, înainte de a face o solicitare de salvare a acestor informații, trebuie să verificați dacă numărul a sosit efectiv, și nu comanda.

Citiți și: Ce este instagram, cum să vă abonați și să vă dezabonați de la toate în instagramme?

O altă modalitate de a proteja - trunchierea informațiilor. Permiteți site-ului să aștepte ca utilizatorul să intre în vârstă. De obicei vârsta este un număr din două cifre. Deci, dacă douăzeci de caractere provin de la utilizator, atunci pentru interogare luăm doar primele două, și nu întreaga linie.

De asemenea, sunt utilizate algoritmi pentru calcularea cuvintelor cheie. Cuvinte cheie - comenzi pe care baza de date le înțelege. Deci, înainte ca utilizatorul să trimită datele unor astfel de cuvinte a fost 3, iar după ce au venit datele, au existat 5 dintre acestea, aceasta este injecția SQL și nu ar trebui să fie efectuată.

Desigur, dacă nu sunteți un profesionist de protecție a datelor, atunci nu puteți rezista hackerilor experimentați. Dar, în același timp, pentru a proteja un mic site, care va fi atacat doar de către elevi, este puțin probabil să aveți nevoie de măsuri de securitate superioară. Dar dacă aveți în continuare un site pe care sunt stocate informații confidențiale despre persoane, atunci este mai bine să vă protejați și să încredințați protecție profesioniștilor.

Sql-injecție cum să hack site-ul și cum să-l protejeze

Cum am tratat site-urile clienților

Și acum o mică practică. Știți deja că ofer servicii pentru oricine dorește să curețe site-urile web de la orice virus, inclusiv. și din injecțiile SQL. Am scris despre asta în acest articol.

Deci, am fost abordat de un anumit Serghei, a cerut 3 site-uri să se vindece. Desigur, m-am angajat.

Dar ceea ce am văzut mai târziu - am fost doar uimit. Sunt încă în stare de șoc și nu pot scăpa.

Iată rezultatele scanării și vindecării primului site:

Am fost șocat când am văzut astfel de figuri.

Acesta este rezultatul scanării și ștergerii automate. Nu sunt un fan al scripturilor automate, pentru că uneori șterg fișierele necesare.

În acest caz, sa întâmplat, după "a vindeca" scripturi - site-ul nu a început. Pur și simplu pentru că toate script-urile js au fost infectate.

Iată rezultatul scanării și vindecării celui de-al doilea site:

M-am bucurat deja de faptul că numărul de viruși este de jumătate mai mare.

Dar, totuși, rezultatul este același.

Trist că nu este copilăresc.

Citiți și: Cum puteți crea o structură calitativă a site-ului: scheme și recomandări pentru îmbunătățire

Deci, cum pot lucra în astfel de condiții? Spune-mi la mila?

Sugestia mea catre cititor

Cazul cu aceste trei site-uri ma făcut să mă gândesc la cât de puțini oameni știu despre securitatea site-urilor și a blogurilor.

Mai ales eu sunt uimit de bloggeri care ar trebui să-și prețuiască blog-ul lor, dar nu o fac.

Sunt de acord ca blogul este bunul tau, care ar trebui sa aduca fructe. De ce ar trebui să fie distrus așa?

Îmi amintesc că mă gândesc,
"Ar fi o listă de reguli pe care trebuie să le îndepliniți pentru a nu fi infectate cu viruși, o foaie de verificare ar ajunge undeva".

Și chiar acum, literalmente a doua zi, am văzut această verificare.

Am găsit-o de la mulți dintre celebrul blogger - Alexander Borisov.

Înțeleg pe deplin că Alexander însuși nu este un techie și că este puțin probabil ca el să fi pictat toate problemele tehnice din acest curs. Dar trucul este că el a scris acest curs împreună cu un virolog de succes. Care, la fel, se specializează în astfel de lucruri.

Sql-injecție cum să hack site-ul și cum să-l protejeze
Dacă implementați toate jetoanele de pe cursul de pe blogul dvs., atunci protecția pe care o oferiți lui îl va oferi o accelerare bună în ceea ce privește promovarea în motoarele de căutare și nu numai.

Și acestea nu sunt cuvinte goale.

Iar acele site-uri pe care le-am întâlnit și exemple de care au condus - am fost doar convins de acest lucru.

Nu, bine, serios, dar ce aștepți?

De asemenea, așteptați în timp ce blogul dvs. va vizita atât de multe viruși?

N-am mai văzut atâtea viruși în viața mea. Mai ales într-un singur loc!

Dar depinde de voi.

Doar sugerez să vă familiarizați cu, probabil, unul dintre cele mai bune cursuri pentru protejarea site-ului de viruși.

Tu decizi singur. Fie că doriți să restaurați site-ul din copiile de rezervă sau să petreceți câteva zile studiind chips-uri simple.

Pentru ziua de azi, am totul, pa!

Denis, mulțumesc pentru un articol foarte interesant (citiți-vă gândurile și articolul lui Alexander Borisov). Trist totul! Am verificat site-ul meu pentru viruși - fie, fie, nu încă ... Dar aparent este cu adevărat necesar să treci la un IP dedicat și alte metode de protecție pentru a pune în aplicare în practică. În general, voi studia cursul, înainte de a fi prea târziu ...

Pentru a verifica dacă am un scaner, verific periodic. Browserul verifică, de asemenea, pentru viruși, care găzduiește cecuri. Mă uit la Seobilding (acum sa schimbat numele), există un control complex al majorității parametrilor, inclusiv viruși. Dar toate acestea sunt doar verificări. Iar protecția de 100% din păcate nu se întâmplă.

Vreau să mă alătur lui Alexander Viktorovich - 100% din protecție nu se întâmplă. Ieri, site-ul clientului a fost hacked, gazda a observat e-mailuri mari, vreau să observ că suportul tehnic a reacționat corect și rapid, vindecat cu aibolit. Și apoi trebuia să merg la Denis.

Denis, mulțumită, a înțeles în cele din urmă ce este injecția SQL, totul este destul de simplu. Desigur, trebuie să protejăm site-ul nostru, să scriem despre el de mai multe ori, să nu scriem despre injecțiile SQL, nici măcar să nu gândim, dar e foarte periculos, probabil că trebuie să te familiarizezi cu acest curs.

Deci, intotdeauna ma intreb de ce oamenii hack site-uri web, rula virusuri si tot felul de spyware!
Denis, mulțumesc pentru articolul util - am învățat multe lucruri noi pentru mine!

O întrebare ciudată. Probabil să-mi folosesc resursele celorlalți. De exemplu, faceți buletine de știri de pe site sau există parole pe care le puteți învăța să faceți profit. Totul se face pentru profit pe termen lung.

Cuiva îi place să creeze site-uri, iar unele hobby-uri din copilărie - ceva de rupt, rănit, rău ... Și astfel de oameni, din păcate. mult. Prin urmare, este necesar să se studieze cursul lui A. Borisov, în el, apropo, există multe lucruri utile. De exemplu, am început deja și sunt foarte mulțumit de acest lucru ...

Sunt de acord, mi-a plăcut, de asemenea, cursul, am studiat totul, o serie de jetoane interesante au fost deja implementate pe site-ul meu. Mi-au plăcut metodele de verificare, am încercat totul și am suspinat ușor, nu au existat viruși și nu a existat exces. Dar, așa cum a fost avertizat în curs, nu trebuie să vă relaxați, protecția de 100% pur și simplu nu există