Individual loyiha mavzu: Web tizimlarda in’eksiya hujumlari va ularni oldini olish usullari




Download 0,54 Mb.
Pdf ko'rish
bet3/15
Sana25.05.2024
Hajmi0,54 Mb.
#253845
1   2   3   4   5   6   7   8   9   ...   15
I
Bob

Web tizimlarda in’eksiya hujumlari
1.1 Strukturaviy sо‘rovlar tili (SQL) hujumlari 
SQL (Structured Query Language) ma’lumotlar bazasi serverlari bilan oÿzaro ishlash 
uchun matnga asoslangan tildir. Ma’lumotlar bazasida ishlash uchun (INSERT, 
RETRIEVE, UPDATE va DELETE) kabi SQL buyruqlaridan foydalaniladi. Dasturchi 
ma’lumotlar bazasi serveridagi ma’lumotlarni manipulyatsiya qilish uchun ushbu 
buyruqdan foydalanadi. SQL Injection bu veb-serverga SQL buyruqlarini kiritish 
strategiyasidir. 
Kontseptsiyaga kо‘ra, SQL Injection hujumi xavflidir, chunki server ma’lumotlar 
bazasiga muvaffaqiyatli kirgan tajovuzkor ma’lumotlar bazasida mavjud bо‘lgan 
ma’lumotlarga kira oladi. Buzg‘unchi tomonidan ma’lumotlarning notо‘g‘ri 
manipulyatsiyasi kiritilgan veb-sayt egasiga zarar etkazishi mumkin. Ma’lumotlar va 
ma’lumotlarning sizib chiqishi halokatli. Bunday ma’lumotlar mas’uliyatsiz shaxslar 
tomonidan notо‘g‘ri ishlatilishi mumkin. Ma’lumotlar va ma’lumotlarning sizib chiqishi 
halokatli. notо‘g‘ri kiritilgan kiritish zaifligidan foydalanib, backend ma’lumotlar bazasida 
ishlaydi. Ta’rifga kо‘ra, SQL Injection hujumi xavfli hisoblanadi, chunki tizim 
ma’lumotlar bazasiga muvaffaqiyatli kirgan tajovuzkor allaqachon mavjud ma’lumotlarni 
о‘zgartirishi mumkin. Buzg‘unchining notо‘g‘ri ma’lumotlarni о‘zgartirishi kiritilgan veb-
sayt egasiga ta’sir qilishi mumkin. Ma’lumotlar va ma’lumotlarning tarqalishi halokatli 
bо‘lishi mumkin. Mas’uliyatsiz shaxslar bu ma’lumotlardan notо‘g‘ri foydalanishlari 
mumkin. 
SQL in’ektsiyasi - bu foydalanuvchi ma’lumotlari SQL sо‘roviga joylashtiriladigan, 
foydalanuvchi kiritgan ma’lumotlarning bir qismi SQL kodi sifatida talqin qilinishiga olib 
keladigan kodni kiritish hujumining bir turi. Bu SQL sо‘rovlari yoki buyurtmalarini kiritish 
uchun veb-sahifalardan kirish sifatida foydalanish usuli. Bu foydalanuvchi tomonidan 
taqdim etilgan ma’lumotlar tо‘g‘ri tekshirilmaganda va SQL sо‘rovnomasida aniq 
foydalanilmaganda sodir bо‘ladi. Bu zaifliklardan foydalangan holda tajovuzkor 


ma’lumotlar bazasiga bevosita kirishi mumkin. Sharma (2005) ma’lumotlariga kо‘ra, 
ikkita asosiy SQL in’ektsiya strategiyasi mavjud. (Kirish sahifasi orqali kirish va URL 
orqali kirish). Birinchi usul, foydalanuvchi autentifikatsiyasi uchun parollar 
qо‘llanilganligi sababli, login turlarini chetlab о‘tish oson. Hujumchilar buni: "yoki" holati, 
"olish" bandi, turli sо‘rovlar va kengaytirilgan saqlangan protsedura orqali amalga 
oshiradilar. Buzg‘unchi ikkinchi usulni bajarishi mumkin: URL manzilidagi savol qatorini 
о‘zgartiring va "SELECT" yoki UNION iboralaridan foydalaning. Ushbu turdagi zaiflik 
jiddiy ekanligini kо‘rsatdi. 
Strukturaviy sо‘rovlar tili (SQL) hujumlari, ma’lumotlar bazasi tizimida SQL 
sorgularini manipulyatsiya qilish orqali amalga oshiriladigan hujumlar hisoblanadi. Bu 
hujumlar orqali, hujumchilar bazaning yozuvlarini о‘zgartirishi, ma’lumotlarni о‘qishishi, 
о‘chirishi, qо‘shishi, hamda ma’lumotlar bazasini buzishlari mumkin. 
Quyidagi bir nechta umumiy SQL hujumlari mavjud: 
SQL Injection (SQL injektsiyasi): Bu hujum, ma’lumotlarni kiritish maydonlariga 
kiritilgan SQL-kodlar orqali bajariladi. Hujumchilar ma’lumotlarni vaqtinchalik bо‘lishi 
kerak bо‘lgan SQL-kodni kiritib, ma’lumotlar bazasidagi bazaning boshqaruv 
operatsiyalarini hujumiy shartlar yaratish yoki ma’lumotlarni о‘zgartirish, о‘chirish uchun 
foydalanishlari mumkin. 
Cross-Site Scripting (XSS): XSS hujumi, ma’lumotlar bazasidagi ma’lumotlarni web-
sahifalarda kо‘rsatish jarayonida sodir bо‘ladi. Hujumchilar, ma’lumotlar bazasida 
saqlangan skriptlarni manbadagi yerni о‘zgartirish orqali, foydalanuvchilarning 
brauzerlarida javob sifatida ishlatilishini amalga oshirishlari mumkin. Bu skriptlar orqali 
hujumchilar о‘zgartirishlar amalga oshirish, hujumni amalga oshirish yoki ma’lumotlarni 
olishlari mumkin. 
Brute Force (Chet elchilik): Bu hujum turi ma’lumotlar bazasidagi foydalanuvchi 
nomi va parolini aniqlovchi kuchli parollar tо‘plamini ishlatish asosida bajariladi. 
Hujumchilar dastlab foydalanuvchi nomi va parolni aniqlovchi sо‘rovlar yuborish orqali 

10 
kirish urinishini tekshirish uchun kuchli parol tо‘plamlarini foydalanishadi. 
Database Enumeration (Ma’lumotlar bazasini korsatish): Hujumchilar ma’lumotlar 
bazasidagi ob’ektlarni (jadvallar, ustunlar va indekslar) aniqlash uchun strukturaviy 
sо‘rovlar (masalan, SHOW TABLES, SHOW COLUMNS, SELECT) ishlatishlari 
mumkin. Bu ma’lumotlar hujumchilarga ma’lumotlar bazasining tuzilishini va 
ma’lumotlarni kiritish uchun zarur bо‘lgan maydonlarni aniqlashda yordam beradi. 
Database Privilege Escalation (Ma’lumotlar bazasi huquqiy kо‘tarilishi): Bu hujum 
turi ma’lumotlar bazasidagi foydalanuvchi tomonidan ma’lumotlarga yoki bazaning 
boshqaruv operatsiyalariga kirish huquqining qaytarilishi orqali amalga oshiriladi. 
Hujumchilar foydalanuvchining о‘zinga etarli bо‘lmagan huquqini yuksaltish orqali 
ma’lumotlarni о‘qish, о‘zgartirish, о‘chirish yoki bazaning boshqaruv operatsiyalarini 
amalga oshirishlari mumkin. 
Birlamchi xavfsizlik muammosi ma’lumotlar bazasi tomonidan qо‘llab-
quvvatlanadigan veb-ilovalarda SQL in’ektsiya hujumi (SQLIA) tomonidan yuzaga keladi. 
Ushbu ekspluatatsiya tajovuzkorlarga ilovaning asosiy ma’lumotlar bazasiga va 
ma’lumotlar bazalaridagi potentsial maxfiy ma’lumotlarga osongina kirish imkonini 
beradi. Xaker ma’lumotlar bazasi tarkibiga ehtiyotkorlik bilan ishlab chiqilgan kirish orqali 
kirishi mumkin, aks holda kirish mumkin emas. Odatda, bu onlayn ilovalarda 
qо‘llaniladigan SQL bayonotlarini о‘zgartirish orqali amalga oshiriladi. Tadqiqotchilar 
SQLIA ni aniqlash va oldini olishni sinchkovlik bilan о‘rganib chiqdilar va veb-
ilovalarning xavfsizligi tufayli kо‘plab yondashuvlarni yaratdilar. 
Internetdan onlayn xizmatlar kо‘rsatish uchun foydalanilganligi sababli, veb-
xavfsizlik xavfi har kuni keskin о‘sib bormoqda. SQL in’ektsiyasi onlayn ilovalardagi eng 
muhim va xavfli zaifliklardan biridir. SQL in’ektsiya hujumi zararli SQL sо‘rovining bir 
qismi bekor qilingan foydalanuvchi yozuvi orqali yuridik sо‘rov bayonotiga kiritilganda 
sodir bо‘ldi. Bu shunday kо‘rsatmalarning bajarilishiga va SQL in’ektsiyasiga olib keladi. 
Ma’lumotlar bazasini boshqarish tizimining Maxfiyligi, yaxlitligi va ma’lumotlar 

11 
bazasidagi ma’lumotlarning mavjudligi muvaffaqiyatli SQL in’ektsion hujumlariga xalaqit 
berdi. 
Internetning rivojlanishi bilan kо‘pchilik odamlar Internetda tranzaksiyalarni amalga 
oshiradilar, masalan, ma’lumotlarni о‘rganish, bank, xarid qilish, boshqarish, tо‘g‘on va 
tijorat almashinuvlarini kuzatish va boshqarish va boshqalar. Veb-ilovalar kо‘plab 
odamlarning kundalik hayotiga moslashgan. Veb-ilovalarning xavf-xatarlari kengayib, 
ulkan kengayishni о‘z ichiga oldi. Ayni paytda har kuni zaifliklar qanchalik kamaysa, 
tahdidlar soni shunchalik kо‘p bо‘ladi. 
SQLIA onlayn ilovalar uchun xavflarning eng muhim xavflaridan biridir. Strukturaviy 
sо‘rovlar - bu in’ektsiya hujumi - SQL veb-asosidagi in’ektsiya hujumini tekshirishda 
kamchiliklarning yо‘qligi. SQLIA - bu inkor etilgan SQL deklaratsiyasi orqali 
ma’lumotlarga asoslangan ilovalarni suiiste’mol qilishni о‘z ichiga olgan xavfli kasallikdir. 
Bu zaiflik tajovuzkorga ma’lumot almashish imkonini beradi. Belgilangan kirishga rioya 
qilish orqali ilovalarning ma’lumotlar bazalari bilan о‘zaro ta’siri. Shuning uchun 
ma’lumotlar bazasiga kirishni kiritish, о‘zgartirish yoki yо‘li bilan olish mumkin. 

Download 0,54 Mb.
1   2   3   4   5   6   7   8   9   ...   15




Download 0,54 Mb.
Pdf ko'rish
Bosh sahifa
Aloqalar
    Bosh sahifa
Dərs
Mühazirə
Qaydalar
Referat
Xülasə
Yazı


Individual loyiha mavzu: Web tizimlarda in’eksiya hujumlari va ularni oldini olish usullari

Download 0,54 Mb.
Pdf ko'rish