حمله تزریق به پایگاه داده یا SQL Injection

حمله تزریق به پایگاه داده یا SQL Injection
آنچه در این مقاله میخوانید:

حمله تزریق به پایگاه داده یا SQL Injection چیست و چگونه عمل می کند؟ همه چیز درباره اس کیو ال اینجکشن را اینجا بخوانید!

مجرمان سایبری از تزریق SQL برای سوء استفاده از آسیب پذیری های نرم افزار در برنامه های کاربردی وب و دسترسی غیرمجاز به داده های حساس و ارزشمند شما استفاده می کنند.

 

 

 

حمله تزریق به پایگاه داده یا SQL Injection چیست؟

ممکن است ندانید حمله تزریق SQL (SQLI) چیست یا چگونه کار می کند، اما قطعاً درباره قربانیان آن می دانید. Target، Yahoo، Zappos، Equifax، Epic Games، TalkTalk، LinkedIn، و Sony Pictures – این شرکت ها همگی توسط مجرمان سایبری با استفاده از تزریق SQL هک شدند.

SQLI نوعی حمله است که توسط آن مجرمان سایبری از آسیب‌پذیری‌های نرم‌افزار در برنامه‌های کاربردی وب به منظور سرقت، حذف یا اصلاح داده‌ها یا به دست آوردن کنترل اداری بر روی سیستم‌هایی که برنامه‌های تحت تأثیر را اجرا می‌کنند، سوء استفاده می‌کنند.

محققان امنیت سایبری SQLI را یکی از کم‌پیچیده‌ترین و آسان‌ترین دفاع در برابر تهدیدات سایبری می‌دانند. حملات SQLI بسیار آسان است، در واقع، مهاجمان می توانند با استفاده از جستجوهای پیشرفته گوگل، به نام Google Dorking، وب سایت های آسیب پذیر را پیدا کنند. هنگامی که مهاجمان SQLI هدف مناسبی را پیدا کردند، می توانند از برنامه های خودکار برای اجرای موثر حمله برای آنها استفاده کنند. تنها کاری که آنها باید انجام دهند این است که URL سایت مورد نظر را وارد کنند و اطلاعات دزدیده شده را تماشا کنند.

و با این حال حملات SQLI امری عادی است و هر روز اتفاق می افتد. در واقع، اگر یک وب‌سایت یا کسب‌وکار آنلاین دارید، مجرمان سایبری احتمالاً سعی کرده‌اند از SQLI برای نفوذ به وب‌سایت شما استفاده کنند. یک مطالعه توسط مؤسسه Ponemon در مورد تهدید تزریق SQL و نقض های اخیر خرده فروشی نشان داد که 65٪ از مشاغل مورد بررسی قربانی یک حمله مبتنی بر SQLI بودند.

برنامه های کاربردی وب که اغلب مورد هدف قرار می گیرند عبارتند از: سایت های رسانه های اجتماعی، خرده فروشان آنلاین و دانشگاه ها. کسب‌وکارهای کوچک تا متوسط آسیب‌پذیر هستند زیرا اغلب با تکنیک‌هایی که مجرمان سایبری در حمله SQLI استفاده می‌کنند آشنا نیستند و به همین ترتیب، نمی‌دانند چگونه در برابر چنین حمله‌ای دفاع کنند.

 

پیشنهاد ویژه: دوره جامع امنیت وب سایت

 

 

 

تزریق SQL چگونه کار می کند؟

SQL (مخفف زبان پرس و جوی ساختاریافته) که در اوایل دهه 70 توسعه یافت، یکی از قدیمی ترین زبان های برنامه نویسی است که هنوز برای مدیریت پایگاه های داده آنلاین استفاده می شود. این پایگاه‌های اطلاعاتی حاوی مواردی مانند قیمت‌ها و سطوح موجودی برای سایت‌های خرید آنلاین هستند.

زمانی که کاربر نیاز به دسترسی به اطلاعات پایگاه داده دارد، از SQL برای دسترسی و ارائه آن داده ها به کاربر استفاده می شود. اما این پایگاه‌های اطلاعاتی همچنین می‌توانند حاوی داده‌های حساس و ارزشمندتری مانند نام‌های کاربری و رمز عبور، اطلاعات کارت اعتباری و شماره‌های تامین اجتماعی باشند. اینجاست که تزریق SQL وارد عمل می شود.

به زبان ساده، تزریق SQL زمانی است که هکر های مجرم دستورات مخرب را در فرم های وب مانند فیلد جستجو، فیلد ورود یا URL یک وب سایت ناامن وارد می کنند تا دسترسی غیرمجاز به داده های حساس و ارزشمند داشته باشند.

تصور کنید به سایت لباس آنلاین مورد علاقه خود می روید. شما در حال خرید جوراب هستید و به دنیایی از جوراب های رنگارنگ نگاه می کنید که همه با یک کلیک ماوس در دسترس هستند.

هر جورابی که می بینید در یک پایگاه داده در سرور وجود دارد. وقتی جورابی را که دوست دارید پیدا می کنید و روی آن جوراب کلیک می کنید، درخواستی را به پایگاه داده جوراب ارسال می کنید و سایت خرید با اطلاعات روی جورابی که کلیک کرده‌اید پاسخ می دهد. حالا تصور کنید وب سایت خرید آنلاین مورد علاقه شما به شکلی ساده و مملو از آسیب پذیری های SQL قابل بهره برداری ساخته شده است.

یک مجرم سایبری می تواند پرس و جوهای پایگاه داده را به گونه‌ای دستکاری کند که درخواست اطلاعات در مورد یک جفت جوراب، شماره کارت اعتباری برخی از مشتریان بدبخت را برمی گرداند. با تکرار این فرآیند بارها و بارها، یک مجرم سایبری می‌تواند اعماق پایگاه داده را بررسی کند و اطلاعات حساس هر مشتری را که تا به حال از سایت لباس آنلاین مورد علاقه شما خرید کرده است، از جمله شما، به سرقت ببرد. اگر آزمایش فکری را حتی فراتر ببرید، تصور کنید که صاحب این سایت لباس هستید. شما یک نقض بزرگ داده در دستان خود دارید.

یک حمله SQLI می‌تواند اطلاعات شخصی مجرمان سایبری، ایمیل‌ها، ورود به سیستم، شماره کارت اعتباری و شماره امنیت اجتماعی میلیون‌ها مصرف‌کننده را کسب کند. مجرمان سایبری می‌توانند این اطلاعات شخصی را در دارک وب بفروشند تا برای انواع مقاصد غیرقانونی استفاده شوند.

ایمیل های دزدیده شده را می توان برای حملات فیشینگ و malspam استفاده کرد. حملات Malspam، به نوبه خود، می توانند برای آلوده کردن قربانیان به انواع بدافزار های مخرب مانند باج افزار، ابزارهای تبلیغاتی مزاحم، کریپجکرها و تروجان ها (مانند Emotet) استفاده شوند. شماره تلفن های دزدیده شده برای دستگاه های تلفن همراه Android و iOS را می توان با تماس های خودکار و پیام های متنی هرزنامه هدف قرار داد.

لاگین‌های دزدیده شده از سایت‌های شبکه‌های اجتماعی حتی می‌توانند برای ارسال هرزنامه پیام و سرقت لاگین‌های بیشتر برای سایت‌های دیگر استفاده شوند. همچنین حساب‌های LinkedIn هک شده برای ارسال هرزنامه به سایر کاربران با پیام‌های InMail حاوی آدرس‌های اینترنتی بد جعلی یا جعلی به نظر می‌رسد که شبیه صفحه ورود به Google Docs است که مجرمان سایبری می‌توانند از طریق آن نام‌های کاربری و رمز عبور Google را جمع‌آوری کنند.

 

 

تاریخچه تزریق SQL چیست؟

اکسپلویت تزریق SQL برای اولین بار در سال 1998 توسط محقق امنیت سایبری و هکر جف فوریستال ثبت شد. یافته های او در مجله طولانی مدت هکر Phrack منتشر شد. Forristal با نام مستعار Rain Forest Puppy، توضیح داد که چگونه فردی با مهارت های اولیه کدنویسی می تواند دستورات SQL غیرمجاز را به دستورات SQL قانونی بازگرداند و اطلاعات حساس را از پایگاه داده یک وب سایت ناامن بیرون بکشد.

وقتی Forristal به مایکروسافت اطلاع داد که چگونه این آسیب‌پذیری بر محصول محبوب SQL Server آنها تأثیر می‌گذارد، آن‌ها آن را به عنوان یک مشکل ندیدند. همانطور که Forristal می‌گوید، «به گفته آنها [مایکروسافت]، آنچه می‌خواهید بخوانید مشکلی نیست، بنابراین نگران انجام کاری برای جلوگیری از آن نباشید».

آنچه که پاسخ نادرست مایکروسافت را تا این حد تکان دهنده می کند این است که بسیاری از صنایع و موسسات (در آن زمان و اکنون) به طور جدی به فناوری مدیریت پایگاه داده شرکت برای ادامه فعالیت های خود از جمله خرده فروشی، آموزش، مراقبت های بهداشتی، بانکداری و منابع انسانی وابسته بودند. این ما را به رویداد بعدی در جدول زمانی تاریخ SQLI هدایت می کند – اولین حمله بزرگ SQLI.

در سال 2007، 7-Eleven، بزرگترین فروشگاه های زنجیره‌ای در ایالات متحده، قربانی یک حمله SQLI شد. هکرهای روسی از تزریق SQL برای هک کردن وب سایت 7-Eleven و استفاده از آن به عنوان پله‌ای در پایگاه داده کارت بدهی مشتریان فروشگاه رفاه استفاده کردند. این به هکرها این امکان را داد که سپس پول نقد را به خانه خود در روسیه برداشت کنند. در مجموع، مجرمان با دو میلیون دلار فرار کردند، همانطور که مجله Wired گزارش داد.

انگیزه همه حملات SQLI طمع نیست. در مثال قابل توجه دیگری از سال 2007، مجرمان سایبری از SQLI برای به دست آوردن کنترل اداری بر دو وب سایت مرتبط با ارتش ایالات متحده و هدایت بازدیدکنندگان به وب سایت هایی با تبلیغات ضد آمریکایی و ضد اسرائیلی استفاده کردند.

نقض داده های MySpace در سال 2008 به عنوان یکی از بزرگترین حملات به یک وب سایت مصرف کننده رتبه بندی می شود. مجرمان سایبری ایمیل، نام و رمز عبور جزئی تقریباً 360 میلیون حساب کاربری را به سرقت بردند. و به همین دلیل است که ما از گذرواژه‌های یک سایت به سایت دیگر استفاده مجدد نمی‌کنیم.

عنوان فاحش ترین کمبود امنیت به Equifax می رسد. نقض داده های Equifax در سال 2017 اطلاعات بسیار شخصی (مانند نام، شماره تامین اجتماعی، تاریخ تولد و آدرس) را برای 143 میلیون مصرف کننده به همراه داشت. برای سازمانی که به عنوان دروازه بان اطلاعات برای هر آمریکایی عمل می کند، به جز آنهایی که خارج از شبکه زندگی می کنند، فکر می کنید که آنها اقدامات احتیاطی را در برابر یک حمله اولیه SQLI انجام دهند. قبل از وقوع نقض اطلاعات، یک شرکت تحقیقاتی امنیت سایبری حتی به Equifax هشدار داد که در معرض حمله SQLI هستند، اما اداره اعتبار تا زمانی که خیلی دیر نشده بود، هیچ اقدامی انجام نداد.

در آن چیزی که به عنوان وحشتناک ترین هک تاریخ شناخته می شود، یک حمله SQLI در سال 2015 به سازنده اسباب بازی Vtech منجر به نقض نزدیک به پنج میلیون والدین و 200000 کودک شد. هکر مسئول در صحبت با Motherboard، انتشارات چند رسانه ای آنلاین، ادعا کرد که آنها هیچ برنامه ای برای داده ها نداشته‌اند و داده ها را در هیچ کجای آنلاین منتشر نکرده اند. برعکس، هکر همچنین توضیح داد که سرقت داده ها بسیار آسان است و شخص دیگری می توانست ابتدا به آن دسترسی پیدا کند. راحتی سرد واقعا.

با حرکت به سمت امروز، حمله SQLI هنوز باقی و متداول است. هر سه سال یک بار پروژه امنیت وب برنامه باز (OWASP) 10 خطر مهم امنیتی برنامه های وب را رتبه بندی می کند. در آخرین نسخه 2017، حمله SQLI در رتبه اول قرار گرفت.

فراتر از طول عمر حمله SQLI، آنچه جالب است این است که حملات SQLI به هیچ وجه تغییر نکرده و تکامل نیافته است. حملات SQLI کار می کنند و تا زمانی که مردم نگرش خود را در مورد امنیت سایبری تغییر دهند به کار خود ادامه خواهند داد. آن تغییر باشد.

 

به کمک یک شرکت خدمات امنیت سایت نیاز دارید؟ همین حالا با ما در ارتباط باشید!

لطفا امتیاز دهید

این مقاله را به اشتراک بگذارید

با عضویت در خبرنامه ایمیلی از آخرین مقالات و کدهای تخفیف باخبر شو!

میخوای کسب و کار آنلاین
و پر فروش داشته باشی؟

با ما در ارتباط باش، میتونیم کمکت کنیم!

رشد و توسعه کسب و کار آنلاین با پانا مارکتینگ

پانا مارکتینگ در تمامی شهرهای کشور فعالیت دارد اما دفتر اصلی فعلی ما در مشهد می باشد. مطالعه بیشتر

راههای ارتباط با ما

با شما تماس می گیریم!