II
Bob
.
Web tizimlarda in’eksiya xujumlariga qarshi choralar……………..
22
2.1.
In’eksiya hujumlarining ta’siri.........................................…..............
22
2.2.
PHP kodida SQL in’eksiya sabablari...............…................................
23
2.3.
SQL
in’eksiya
hujumlarini oldini olish ..……………………...........
24
Xulosa
………………………………………………...…………..……...…..........
29
Foydalanilgan adabiyotlar rо‘yhati
…………….…………………….................
30
Ilovalar
…………………………………………………….…………….……......
31
4
Kirish
Veb-sayt ilovalari bugungi texnologiyaga asoslangan dunyoda kundalik hayotda
muhim rol о‘ynaydi. Odamlar veb-saytlardan turli maqsadlarda, jumladan,
internetdо‘konlar, bank xizmatlari va dо‘stlar bilan suhbatlashish uchun foydalanadilar.
Kо‘pincha veb-saytlar foydalanuvchi ma’lumotlarini backendda saqlash uchun
ma’lumotlar bazalaridan foydalanadi. Bunday fayllarda maxfiy ma’lumotlar, jumladan
parollar, kredit karta raqamlari va ijtimoiy xavfsizlik raqamlari saqlanganligi sababli,
zararli xakerlar kо‘pincha ularga hujum qilishadi.
Kо‘plab xakerlik hodisalari tahliliga kо‘ra, operatsion tizim xavfsizligi
yaxshilanganda va xavfsizlikni himoya qilish dasturiy ta’minot va apparat yechimlari keng
tarqalgan bо‘lsa, operatsion tizim zaifliklari bilan bevosita tetiklanadigan tarmoq hujumlari
yildan-yilga kamayib, WEB ilovalar tizimi zaifliklaridan foydalanish darajasi oshadi. Oson
sintaksisi va yuqori rivojlanish samaradorligi tufayli PHP barcha turdagi portal vebsaytlari
va veb-ilova dasturlarini ishlab chiqish uchun tanlangan tilga aylandi. LAMP arxitekturasi
(Linux + Apache + MySQL + PHP) bu PHP tilini ishlab chiqish muhiti boÿlib, tezkor
tezlik, yuqori muvofiqlik, bepul ochiq manba va boshqa afzalliklarga ega. Mavjud trafik
darajasiga asoslanib, LAMP arxitekturasining taxminan 70% hozirgi tarmoq sharoitlariga
tayanadi. PHP ning dastlabki dizayn jarayoni haddan tashqari samarali va shaffof bо‘lgani
uchun dasturlash tilida ba’zi zarur xavfsizlik spetsifikatsiyalari qat’iy cheklanmagan.
Nozik ma’lumotlarni qо‘shish kerak. Bu samarasiz, chunki dasturchi xavfsizlik bilimiga
ega emas, mashina funksiyalari xavf ostida qolgan tizimning ba’zi bо‘limlari operatsion
himoyasida hech qanday cheklovlarga duch kelmaydi. Juda kо‘p ma’lumotlar zaif bо‘lib,
natijada tizim muhim xavfsizlik xavflarini keltirib chiqarishi mumkin. Odamlar veb-
saytlardan turli maqsadlarda, jumladan, internet dо‘konlar, bank xizmatlari va dо‘stlar
bilan suhbatlashish uchun foydalanadilar. Kо‘pincha veb-saytlar foydalanuvchi
ma’lumotlarini backendda saqlash uchun ma’lumotlar bazalaridan foydalanadi. Veb-sayt
5
ilovalari bugungi texnologiyaga asoslangan dunyoda kundalik hayotda muhim rol
о‘ynaydi. barcha ma’lumotlar bazasi infratuzilmasi va tegishli ilovalarni joylashtiradigan
tarmoq tizimi. Bunday fayllarda maxfiy ma’lumotlar, jumladan parollar, kredit karta
raqamlari va ijtimoiy xavfsizlik raqamlari saqlanganligi sababli, zararli xakerlar kо‘pincha
ularga hujum qilishadi. U osongina veb-sahifalarning katta qismlarini osib qо‘yishga,
viruslarning tarqalishiga, maxfiylikni buzishga, serverlarni masofadan boshqarishga va
о‘ta og‘ir holatlarda tarmoq falajiga olib kelishi mumkin. Ular orasida SQL in’ektsiya
zaifliklari ayniqsa mashhur. 1999 yildan beri birinchi marta SQL in’ektsiyasi odamlarning
ongida va о‘n yil edi. Hozirda keng qamrovli profilaktika rejasi mavjud bо‘lsa-da, uning
imkoniyatlarini e’tiborsiz qoldirib bо‘lmaydi. Eng xavfli bо‘shliqlardan biri bu SQL
in’ektsiyasidir. 2010-yil uchun OWASP Top 10, 2013-yil uchun OWASP Top 10 va 2017-
yil uchun OWASP Top 10, SQL injection uch marta veb-ilova tizimlari uchun eng yaxshi
muammo sifatida baholandi. SQL injection zaifliklari alohida veb-saytlar va boshqalarning
himoyasini buzadi.
Bundan tashqari, soddaligi tufayli, SQL in’ektsiya zaifliklari kо‘pincha maqsad
tarmog‘iga bosqichmabosqich kirib borish maqsadiga ega bо‘lgan tarmoq hujumlari uchun
qadam sifatida ishlatiladi. Xakerlar о‘z tajribalaridan faqat bitta dastur yoki bitta serverga
kirish uchun foydalanishlari mumkin bо‘lsada, ular tarmoqqa tо‘liq kirish yoki tо‘liq ichki
ma’lumot olish imkoniyatini xohlashadi.
Hackerlar uchun ma’lumotlar bazasiga urinishning keng tarqalgan usullaridan biri bu
SQL in’ektsion hujumidir. Kо‘proq dasturchilar B/S rejimi ilovasini ishlab chiqishda
ilovalar yaratish uchun ushbu rejimdan foydalanadilar. Dasturchilar tajribasining teng
bо‘lmagan darajasini hisobga olgan holda, dasturchilarning katta qismi kodni ishlab
chiqishda foydalanuvchi kiritgan ma’lumotlarning haqiqiyligini baholamaydi, bu esa
dastur xavfsizligi uchun tashvish tug‘diradi. Foydalanuvchilar ma’lumotlar bazasi sо‘rov
kodini yuborishlari va о‘zlari bilmoqchi bо‘lgan dastur natijalari asosida ma’lumotlarni
6
olishlari mumkin. Ma’lumotlar bazasi xavfsizligiga hujum qilish usullaridan biri bu SQL
injection hujumidir. Ma’lumotlar bazasi xavfsizligini himoya qilish texnologiyasi uni
muvaffaqiyatli himoya qila oladi.
Hozirgi kunda muhim firmaning kiberxavfsizligining jiddiy buzilishi tо‘g‘risida
ommaviy axborot vositalarida yoritilishi odatiy hol emas. Ushbu qoidabuzarliklarning
aksariyati dasturiy ta’minot yoki tizim kamchiliklari bilan bog‘liq. Ushbu zaifliklar tо‘liq
о‘rganilgandan sо‘ng, rivojlanish muammolari ushbu kamchiliklarning kо‘p sonini
aniqladi. Aniqroq aytganda, zaifliklar ishlab chiquvchilar yoki dizayn jarayoni tufayli
yuzaga kelgan. Injection hujumlar ishlab chiquvchilar tomonidan yoki nomukammal
dizayn jarayoni tomonidan qо‘zg‘atilgan о‘ziga xos zaiflikdir. SQL inyeksion hujumlari,
asosan, tashkilot tomonidan sodir etilgan kiberxavfsizlikning aksariyat buzilishi bilan
bog‘liq edi. Bunday hujum kompaniya yoki kompaniyaga zarar etkazishi mumkin. Ushbu
ta’sirlar pul yо‘qotishlari, xususiy korporativ ma’lumotlarning oshkor etilishi,
iste’molchilarning ta’siri, aktsiyalarning pasayishi yoki tо‘rttasining aralashmasini о‘z
ichiga olishi mumkin. Interaktiv onlayn ilovalarda SQL inyeksion hujumlari nisbatan tez-
tez uchraydi. Ularni nafaqat SQL in’ektsion hujumlari bilan osonlikcha aniqlash va
osonlikcha yumshatish mumkin.
Nisbatan keng tarqalgan onlayn zaiflik bu Structured Query Language Injection
Attack (SQLIA). Ma’lumotlarga ruxsat olish yoki ma’lumotlarga ruxsatsiz о‘zgartirishlar
kiritish uchun tajovuzkor veb-shaklning kirish maydoniga zararli tuzilgan sо‘rovlar tili
(SQL) kodini qо‘shadi. Muvaffaqiyatli zararli SQL in’ektsiyasi sezilarli pul
yо‘qotishlariga, obrо‘-e’tiborni yо‘qotishga, maqsadli biznesda muvofiqlik va tartibga
solish buzilishiga olib keladi. SQL in’ektsiyalarini aniqlash va oldini olish uchun bir nechta
tadqiqot loyihalari amalga oshirildi. Biroq, SQL in’ektsiya tahdidlarini aniqlash va
yumshatish uchun yagona ilg‘or vosita noodatiy bо‘lib qolmoqda.
SQL Injection xakerlarga maxfiy ma’lumotlar yoki ma’lumotlar bazasiga kirish uchun
7
ma’lumotlar bazasi serverida zararli SQL sо‘rovini amalga oshirish uchun vebilovadan
foydalanishga ruxsat berish sifatida ta’riflanishi mumkin. Ushbu veb-ga asoslangan zaiflik
tajovuzkorga identifikatsiyani aniqlash, tizim ma’lumotlarini о‘chirish va ma’lumotlar
bazasi yozuvlarini о‘zgartirish imkonini beradi. SQL in’ektsiyasining asosiy ta’siri:
Maxfiylikni yо‘qotish, SQL buyrug‘ini mantiqiy manipulyatsiya qilish orqali tarmoqqa
muvaffaqiyatli kirish uchun original foydalanuvchi nomi va parolni taqdim etmasdan
tajovuzkor sifatida autentifikatsiya qilish, tajovuzkor sifatida avtorizatsiyani yо‘qotish
tizim ma’lumotlarini tо‘liq qoldiradi va xaker sifatida yaxlitlikning yо‘qligi. ma’lumotlar
bazasiga kirish huquqini oladi.
О‘zgaruvchan biznes talablariga moslashish uchun axborot tizimlari odatda Internetga
kо‘chiriladi; ammo, bu texnologiyalar ba’zan xavfsizlik zaif tomonlari bilan juda kо‘p turli
xil hujumlarga qarshi zaifdir. Miter korporatsiyasi ma’lumotlariga kо‘ra, SQL Injection
Threats (SQLIA) ushbu tizimlar duch keladigan xavfsizlik hujumlarining eng keng
tarqalgan turlaridan biridir.
Internet tarmog‘i hozirgi kunda doimiy о‘zgaruvchan va о‘sib borayotgan axborot
texnologiyalari davrida insoniyatning asosiy kundalik ehtiyojlaridan biriga aylandi.
Onlayn banking, internetga asoslangan elektron pochta, tezkor aloqa tarmoqlari kabi veb-
ilovalar hujumchilarga qaratilgan. Ularning asosiy maqsadi muhim foydalanuvchi
ma’lumotlarini olish va ulardan о‘z maqsadlari uchun foydalanishdir. SQL in’ektsion
hujumlari onlayn ilovalar va veb-ga asoslangan axborot tizimlarini nishonga olishning bir
usuli hisoblanadi.
SQL Injection Assault xakerlik hujumining eng tez-tez uchraydigan va eng zararli
usullaridan biridir. SQL injektor hujumlari va oldini olish maktabimizda axborot tizimini
himoya qilishni о‘rgatish uchun muhim va qiyin fanlardir. Laboratoriyalar о‘qitish uchun
yordam dasturlari uchun turli xil zaifliklarga ega. О‘qituvchi ushbu dastur yordamida
sinfda SQL in’ektsiya hujumlarini amalga oshirishi mumkin, bu esa о‘quvchilarga SQL
in’ektsiya hujumi va oldini olish tushunchasini tushunishga yordam beradi.
| 