✔️ SEO HELPER | NICOLA.TOP

✔️ SEO HELPER | NICOLA.TOP

WordPress SQL Injection: Himoya qilish bo'yicha to'liq qo'llanma

Ko'rishlar soni

3 121
chop etish · Vremya na chtenie: 17min · tomonidan · Chop etilgan · Yangilangan

o'ynashUshbu maqolani tinglang

WordPress SQL Injection - SQL hujumlaridan himoya qilish bo'yicha qo'llanma.

SQL in'ektsiyasi WordPress saytlariga qilingan eng halokatli hujumlardir. Aslida, ular eng muhim WordPress zaifliklari ro'yxatida ikkinchi o'rinni egallaydi, faqat saytlararo skript hujumlaridan keyin. WordPress SQL in'ektsiyasi xakerga saytingiz ma'lumotlar bazasiga kirish va keyin uni zararli dasturlar bilan to'ldirish imkonini beradi.

Agar siz WordPress saytlarida SQL in'ektsion hujumlari haqida o'qigan bo'lsangiz va ular olib kelishi mumkin bo'lgan zarardan xavotirda bo'lsangiz, siz to'g'ri joyga keldingiz. Men sizga ushbu hujumlarning zararli dasturlari bilan qanday kurashish kerakligini va eng muhimi, ularning paydo bo'lishining oldini olishni aniq aytib beraman.

2019 yilda barcha hujumlarning uchdan ikki qismi SQL inyeksion hujumlari edi. Bu raqam biroz kamaydi, ammo bu ularni kamroq xavfli qilmaydi. Biroq, WordPress SQL inyeksion hujumi nima qilishini va uning qanday ishlashini tushunish sizning saytingizni himoya qilishda uzoq yo'lni bosib o'tadi. SQL in'ektsion hujumlari har qanday veb-sayt uchun xavfli bo'lib, katta zarar etkazishi mumkin.

Maqolaning mazmuni:

WordPress SQL qarshi hujumlari nima?

WordPress SQL inyeksion hujumlari - bu nima?
WordPress SQL inyeksion hujumlari saytingiz ma'lumotlar bazasiga ruxsatsiz kirishga urinishlardir. Sizning veb-saytingiz ma'lumotlar bazasi foydalanuvchilar tomonidan yaratilgan barcha ma'lumotlar va kontentni o'z ichiga oladi, masalan, postlar, sahifalar, havolalar, sharhlar va hatto foydalanuvchilar. Bu muhim ma'lumotlarning ulkan ombori va shuning uchun xakerlar uchun oltin konidir.

WP SQL dasturi, ajablanarli emas, SQL buyruqlaridan foydalanadi. Strukturaviy so'rovlar tili yoki SQL - bu ma'lumotlar bazalari bilan o'zaro ishlash uchun ishlatiladigan til. Unda ma'lumotlar bazasi jadvallarida saqlangan ma'lumotlarni qo'shish, o'chirish yoki o'zgartirish mumkin bo'lgan buyruqlar mavjud. SQL veb-sayt fayllaringizga veb-saytingizda ko'rsatish uchun ma'lumotlar bazasidan to'g'ri ma'lumotlarni topish va olish imkonini beradi.

SQL in'ektsion hujumlari saytingizning forma maydonlariga SQL buyruqlarini kiritish orqali ishlaydi. Masalan, xaker saytingizga ma'lumotlarni kiritish uchun aloqa formangizdan foydalanishi mumkin. Ma'lumotlarda veb-saytingiz tomonidan bajariladigan SQL buyruqlari mavjud va shuning uchun ma'lumotlar bazasini o'zgartirishi mumkin. Keyin, xaker saytingiz ma'lumotlar bazasiga kirish imkoniga ega bo'lgach, ular saytingizni zararli dasturlar bilan to'ldirishi yoki boshqa turdagi dahshatli muammolarni keltirib chiqarishi mumkin.

SQL in'ektsion hujumlari uchun turli xil kirish nuqtalari mavjud. Xakerlar odatda shakllarni va qidiruv paneli kabi boshqa ochiq maydonlarni nishonga olishadi. Aravalar, shuningdek, SQL in'ektsiyasiga sezgir ekanligi ma'lum.

WordPress saytingizga SQL qarshi hujumining oqibatlari

WordPress SQL in'ektsiyasining oqibatlari xaker o'zlarining yashirin kirishlari bilan nima qilishni tanlashiga qarab juda farq qilishi mumkin. Hackerlar veb-saytlarga qiladigan ba'zi oqibatlar:

  • Eng yomon holatda, xaker ma'lumotlar bazasining barcha tarkibini o'chirib tashlashi mumkin. Bu sizning saytingizni buzadi va mustaqil zaxirangiz bo'lmasa, uni qayta tiklashni imkonsiz qiladi.
  • WordPress-da SQL in'ektsiyasi bilan xaker ma'lumotlar bazasiga zararli dasturlarni kiritishi mumkin. Bu SEO spam zararli dasturini va kalit so'zlarni buzish yoki farmatsevtikani buzish kabi variantlarni anglatishi mumkin. Bu, shuningdek, barcha xabarlar va sahifalarga zarar etkazadigan buzib yuborilgan qayta yo'naltiruvchi zararli dasturlarni anglatishi mumkin.
  • Xaker foydalanuvchi akkauntini nazorat qilishi va uning imtiyozlarini oshirishi mumkin. Agar siz g'alati foydalanuvchi faolligini ko'rsangiz, bu buzilgan veb-sayt belgisi bo'lishi mumkin.
  • Xaker ma'lumotlar bazasiga kirish huquqiga ega bo'lgani uchun u ma'lumotlarni qo'shishi, o'zgartirishi, o'chirishi yoki hatto o'g'irlashi mumkin. Bu katta maxfiylik muammosini keltirib chiqaradi, ayniqsa siz elektron pochta yoki shaxsiy ma'lumotlar kabi foydalanuvchi ma'lumotlarini saqlayotgan bo'lsangiz. Ma'lumotlarning sizib chiqishi foydalanuvchilarni xavf ostiga qo'yadi.
  • Nihoyat, SQL injection hujumlari, shuningdek, masofaviy kodni bajarish hujumlariga olib kelishi mumkin.

Qisqacha aytganda, SQL injection hujumlari xakerlar tomonidan ruxsatsiz kirish uchun foydalaniladigan mexanizmdir. Ular qilgandan so'ng, ular veb-saytingizga juda ko'p zarar etkazishi mumkin.

Sizning WordPress saytingizda SQL injection zaifligi borligini qanday tekshirish mumkin?

SQL in'ektsion hujumlari odatda muvaffaqiyatli bo'lishining eng katta sababi zaifliklardir. Zaifliklar - bu WordPress yadrosi, plaginlari yoki mavzulari bo'lsin, koddagi kamchiliklar. Biz ushbu maqolada WordPress SQL in'ektsiyasi qanday ishlashini ko'rib chiqamiz, ammo zaifliklar kirish nuqtasi ekanligini aytish kifoya.

Sizning saytingizda WordPress SQL in'ektsiyasi zaifligi mavjudligini aniqlashning bir necha yo'li mavjud:

1. Saytingizdagi biror narsa yangilanishi kerakligini tekshiring. Agar saytingizdagi biron bir dasturiy ta'minotda zaiflik aniqlansa, ushbu dasturiy ta'minotni ishlab chiquvchilar xavfsizlik tuzatish yangilanishini chiqarishga ishonch hosil qilishadi. Bu men har doim saytingizni yangilash tarafdori ekanligimning asosiy sababidir.

2. Penetratsiyani tekshirish vositasidan foydalaning. Juda mashhur SQL in'ektsiya vositasi sqlmap veb-saytingizni WordPress SQL in'ektsiya zaifligini tekshiradi.

3. Saytingizni SQL kodi bilan sinab ko'ring. Ushbu bosqich sizdan ba'zi texnik bilimlarni talab qiladi. Saytingiz qaysi ma'lumotlar bazasidan foydalanishiga qarab, qanday buyruqlarni sinab ko'rish kerakligini aniqlash uchun ushbu cheat varaqdan foydalanishingiz mumkin.

Bundan tashqari, SQL in'ektsiya zaifliklarini sinab ko'radigan onlayn skanerlar mavjud. Sqlmap ulardan biri, lekin Acunetix, veb-sayt zaiflik skaneri va boshqa ochiq manba vositalari ham mavjud. Biroq, bu penetratsion test vositalari va saytingizni hujumlardan himoya qila olmaydi. Saytingizni hujumlardan himoya qilish uchun WordPress xavfsizlik devorini o'rnatishingiz kerak.

SQL Injection Attack tomonidan infiltratsiya qilingan zararli dasturlardan qanday qutulish mumkin

WordPress SQL in'ektsiyasi zararli dasturning o'zi emas, balki saytingiz ma'lumotlar bazasiga yoki saytning o'ziga zararli dasturlarni kiritish mexanizmi.

Saytingizdagi zararli dasturlarning belgilari

Zararli dastur har doim ham veb-saytda aniq ko'rinmaydi, ammo ba'zi alomatlarga e'tibor berishingiz mumkin:

  • Google qidiruv natijalarida veb-saytingizni spam qilish.
  • Google Search Console’da xavfsizlik muammolari.
  • Veb-saytingizdagi xatolar va boshqa muammolar, masalan, sahifalardagi buzilgan kod yoki spam qalqib chiquvchi oynalar.
  • Veb-saytdagi tushunarsiz ichki o'zgarishlar.
  • Sayt boshqa saytga yo'naltiradi.
  • Google saytingizni qora ro'yxatga kiritmoqda.
  • Yandeks emissiyasida lavozimlarda katta pasayish kuzatilmoqda.
  • Asosiy so'rovlar uchun pozitsiyalar va natijalar yo'qoladi.
  • Yandex Webmaster sizga xavfsizlik buzilishi haqida xabar beradi.
  • Veb-xost saytni pauza qiladi yoki ogohlantirish xatini yuboradi.
  • Saytning sekinlashishi kabi ishlash muammolari.
  • Foydalanuvchilarga yuborilgan spam kabi foydalanuvchi tajribasi muammolari.
  • To'satdan tirbandlik uchun tahlil shablonlariga o'zgartirishlar.
  • Google Ads hisobi qora ro'yxatga kiritilgan.
  • Yandex YAN hisobi ham bloklangan.

Ushbu belgilarning faqat bittasi anomaliya bo'lishi mumkin, ammo ikkita yoki undan ko'p birikmasi zararli dasturning ishonchli belgisidir.

Saytingizni zararli dasturlar uchun skanerlang

Agar veb-saytingizda tushunarsiz hodisani ko'rsangiz, veb-saytingizda zararli dastur mavjudligini tasdiqlashingiz kerak. Buning eng yaxshi usuli - saytingizni zararli dasturlarga tekshirish. Veb-saytingizni skanerlashning uchta usuli mavjud, biz ularni samaradorlik tartibida sanab o'tdik.

  • Veb-saytingiz yoki ma'lumotlar bazasida zararli dasturlarning eng kichik izlarini topish uchun xavfsizlik skaneri bilan chuqur skanerlang. Bu sizning saytingizda zararli dastur mavjudligini aniqlashning yakuniy usuli.
  • Onlayn skaner yordamida skanerlash unchalik samarali emas, lekin biror narsa noto'g'ri ekanligini aniqlash uchun birinchi qadamdir.
  • Qo'lda zararli dasturlarni skanerlash eng kam samarali hisoblanadi, shuning uchun biz buni umuman tavsiya etmaymiz.

Saytingizdan zararli dasturlarni olib tashlang

Saytingizda zararli dastur mavjudligini aniqlaganingizdan so'ng, uni darhol tozalashga ustuvor ahamiyat berishingiz kerak. Zararli dastur ochiq-oydin va vaqt o'tishi bilan yomonlashadi va yomonlashadi.
WordPress saytingizdan zararli dasturlarni olib tashlashning 3 ta usuli mavjud:

  1. WordPress xavfsizlik plaginidan foydalaning;
  2. WordPress qo'llab-quvvatlash jamoasini yollash;
  3. Zararli dasturlarni qo'lda tozalang.

1. WordPress xavfsizlik plaginidan foydalaning

Uchta variantdan xavfsizlik plaginini ishlatish eng yaxshisidir. Men quyidagi kabi plaginlarni tavsiya qilaman:

  • All In One WP Security
  • Wordfence Security

Ular bir necha daqiqada veb-saytingizni zararli dasturlardan tozalashga yordam beradi. Ular saytingizdan faqat zararli dasturlarni jarrohlik yo'li bilan olib tashlash uchun aqlli tizimdan foydalanadilar va shu bilan birga ma'lumotlaringizni to'liq saqlaydilar.

Darhaqiqat, WordPress SQL Injection veb-saytingiz ma'lumotlar bazasiga zararli dasturlarni kiritishi mumkin, ammo bu kabi plaginlar zararli dasturlardan ma'lumotlar bazasini tozalashda boshqa barcha xavfsizlik plaginlaridan ustundir.

2. WordPress yordam stolini yollang

Keyingi eng yaxshi variant - saytingizni zararli dasturlardan tozalash uchun texnik xizmat ko'rsatish yoki xavfsizlik bo'yicha mutaxassisni yollash. Shuni yodda tutingki, bu xizmatlar qimmat va kamdan-kam hollarda tozalash uchun qoplanadi. Natijada siz xizmatlar uchun katta hisobni olishingiz mumkin.

3. Zararli dasturlarni qo'lda tozalang

Men zararli dasturlarni qo'lda tozalashni qat'iy tavsiya qilaman. Vaqtdan tashqari, inson xatosi uchun har doim joy bor.

Post-hack nazorat ro'yxati

Zararli dastur o'chirilgandan so'ng, siz qilishingiz kerak bo'lgan bir nechta narsa bor. Bu xakerning ma'lum vaqt davomida veb-saytingizga va ma'lumotlar bazasiga kirishi mumkinligini hisobga oladigan xizmat vazifalari.

  1. Barcha parollarni yangilang: foydalanuvchilar, ma'lumotlar bazasi, elektron pochta xabarlari, hamma narsa;
  2. Rollarni va WordPress xavfsizlik kalitlarini o'zgartirish;
  3. Barcha keshlarni tozalash;
  4. Foydalanuvchilarni parollarni o'zgartirish haqida ogohlantiring.

Umumiy qoida sifatida, parollar kabi nozik ma'lumotlar buzilgan bo'lishi mumkin va shuning uchun o'zgartirilishi kerak deb taxmin qilish yaxshidir.

WordPress-da SQL in'ektsiyalarini qanday oldini olish mumkin?

Zararli dasturlar va hujumlar bilan kurashishning eng yaxshi usuli ularning paydo bo'lishining oldini olishdir. Saytingiz imkon qadar xavfsiz ekanligiga ishonch hosil qilish uchun siz bajarishingiz mumkin bo'lgan bir nechta maxsus SQL in'ektsiya xavfsizligi qadamlari mavjud:

  • Xavfsizlik plaginini o'rnating: Men xavfsizlik plaginining qanchalik muhimligini ta'kidlay olmayman. Veb-sayt xavfsizligini ta'minlash uchun sizga har kuni ishlaydigan skaner kerak bo'ladi. Zararli dastur saytingizda qancha vaqt qolsa, xavfliroq bo'ladi. Skanerlar har kuni zararli dasturlar va zaifliklarni tekshiradi va siz bir vaqtning o'zida saytingizni bir necha daqiqada tozalashingiz va vaziyatni yomonlashtirmasligingiz mumkin.
  • Xavfsizlik devoridan foydalaningJavob: Xavfsizlik devorlari WordPress administratori bardosh bera oladigan SQL inyeksiya hujumlaridan eng yaxshi himoya hisoblanadi. Zaifliklar bilan bog'liq muammo shundaki, siz veb-sayt administratori sifatida asosiy muammolarni hal qilish uchun juda kam narsa qila olasiz. Lekin siz WordPress xavfsizlik devorini o'rnatishingiz mumkin. Xavfsizlik devori SQL in'ektsiyasi kabi hujumlarni blokirovka qilish uchun qoidalardan foydalanadi, masalan, masofaviy kodni bajarish va saytlar o'rtasida skript yaratish.
  • Barcha plaginlaringiz va mavzularingizni yangilang: Men sizning saytingizdagi hamma narsani yangilash muhimligi haqida gapirib beraman. Yangilanishlar ko'pincha zaifliklar uchun xavfsizlik tuzatishlarini o'z ichiga oladi. Yangilanishlarni kechiktirishni tanlash muvaffaqiyatli hujumlar va zararli dasturlarga olib kelishi mumkin.
  • Null holda dasturiy ta'minot: Kengaytmalarni diqqat bilan tanlang. Yaroqsiz plaginlar va mavzular vaqtli bombalardir. Agar ular oldindan o'rnatilgan zararli dasturlar bilan birga kelmasa, ularning o'rniga foydalanish mumkin bo'lgan orqa eshiklar bo'lishi mumkin. Bundan tashqari, plagin yoki mavzuni yangilab bo'lmaydi, chunki u buzilgan versiya. Shunday qilib, zaifliklar qonuniy versiyada aniqlanganiga qaramay, ular abadiy nol holatda qoladilar.
  • WordPress xavfsizligingizni mustahkamlang. WordPress veb-saytingizda xavfsizlikning eng yaxshi amaliyotlarini qo'llashdan tashqari, siz uni mustahkamlashingiz mumkin. Ayniqsa, XML-RPC-ni o'chirib qo'yishni va veb-saytingizda ikki faktorli autentifikatsiyani yoqishni tavsiya qilaman.

Agar siz dasturchi bo'lsangiz yoki veb-saytingiz uchun maxsus kod yaratayotgan bo'lsangiz, veb-saytingizda WordPress SQL in'ektsiya zaifliklarini oldini olish uchun quyidagilarni qilishingiz mumkin:

  • Tayyor bayonotlardan foydalaning. Bu shuni anglatadiki, formadan kiritilgan ma'lumotlar avval tekshirish uchun funktsiyaga yuboriladi, o'zgaruvchida saqlanadi va keyin operatorlarga uzatiladi. Kirishlar to'g'ridan-to'g'ri buyruqlarga kiritilmaydi va keyin bajariladi.
  • Foydalanuvchi kiritgan ma'lumotlarni tozalashga ishonch hosil qiling. Kirishni tekshirish juda muhim. SQL-dagi operatorlar bo'lgan barcha maxsus belgilarni olib tashlang va ulardan parollarda foydalanishni butunlay taqiqlang. Sizning tizimingiz ushbu belgilarni darhol rad qilishi kerak.
  • Shuningdek, siz tayyorlangan bayonotlardan foydalanadigan funktsiyalarga ega bo'lgan ramkalardan foydalanishingiz mumkin. Ko'pgina ishlab chiquvchilar ushbu platformalardan foydalanadilar, shuning uchun ular to'g'ridan-to'g'ri o'z kodlarida SQL iboralarini yozishlari shart emas.
  • Ma'lumotlar bazasiga kirishni faqat unga muhtoj bo'lganlar uchun cheklashingiz mumkin.

Rivojlanish nuqtai nazaridan sizga yordam beradigan ko'plab kodlash resurslari mavjud. Yaxshiyamki, WordPress parollarni saqlash uchun rollardan foydalanadi, shuning uchun siz WP SQL in'ektsiyasining kamroq turi haqida tashvishlanishingiz kerak.

Nima uchun SQL in'ektsion hujumlari juda keng tarqalgan?

SQL in'ektsiyalari xakerlar uchun juda ko'p qimmatli ma'lumotlarga olib keladi. Bu ularning keng tarqalganligining asosiy sababidir. Boshqa sabablar bo'lsa ham:

  • Ko'pgina veb-sayt ma'lumotlar bazalari SQL-dan foydalanadi.
  • Hujum asosan shakl maydonlari orqali ishlaydi va ko'pchilik veb-saytlarda ma'lumotlarni kiritish imkonini beruvchi kamida bitta maydon mavjud. Aloqa shakli, qidiruv maydoni va boshqalar.
  • Internetda veb-saytdagi SQL in'ektsiya zaifliklarini aniqlay oladigan ko'plab skanerlar mavjud. Bular odatda axloqiy xakerlik vositalari bo'lib, ular veb-sayt ma'murini o'z xavfsizligining zaif tomonlari haqida ogohlantirish uchun mo'ljallangan, ammo xakerlar tomonidan ham ishlatilishi mumkin.
  • Afsuski, SQL in'ektsiyalarini bajarish oson. Ular juda ko'p texnik bilim yoki tajribani talab qilmaydi.
  • Ushbu zaifliklarni hisobga olish qiyin. Haqiqatan ham, WordPress xavfsizlik plaginlarida SQL injection zaifliklari ham topilgan. Siz ularni topishni kutmagan yagona joy.

2022 yil boshida WordPress yadrosida SQL injection zaifliklari ham aniqlandi. Ishlab chiquvchilar eski hujum usullaridan himoya qilishni amalga oshirar ekan, xakerlar veb-saytlardan foydalanishning yangi usullarini topmoqda.

SQL inyeksion hujumlari qanday ishlaydi?

SQL in'ektsiyalari xakerlar veb-saytga SQL buyruqlarini kiritganda va ma'lumotlar bazasiga kirishda ishlaydi. Buni qilishning ko'plab usullari mavjud, biz ularni SQL in'ektsion hujumlari turlari bo'limida ko'rib chiqamiz.

Ta'sir qilingan WordPress ma'lumotlar bazasiga misol.

Aslida, xakerlar tasdiqlanmagan ma'lumotlardan foydalanadilar. Sanitarizatsiya qilinmagan kirishlar tizim tomonidan tasdiqlanmagan yoki tasdiqlanmagan foydalanuvchi kirishlari, bu holda veb-sayt. Kirish ma'lumotlar bazasi tomonidan olinadi va natijalar qaytarib yuboriladi. Bu kerakli natijaga erishish uchun SQL buyrug'idan ijodiy foydalanish haqida.

Saytdagi aloqa formasi orqali SQL in'ektsiya kodini amalga oshirish.

Misol uchun, xakerlar ma'lumotlar bazasidan ma'lumot olish uchun SQL-dagi maxsus belgilardan foydalanadilar. Belgilar yoki belgilar tilda alohida ma'noga ega bo'lgan operatorlar sifatida tanilgan. Yulduzcha belgisi (*) "barchasi" ma'nosini bildiruvchi operatordir. Operatorlar kodlash samaradorligini oshirish uchun ishlatiladi, lekin ular o'ziga xos bo'lmaganligi sababli, agar ehtiyotsizlik bilan foydalanilsa, noto'g'ri ishlatilishi mumkin.

WordPress SQL injection misoli:

Keling, SQL injection hujumi qanday ishlashiga misolni ko'rib chiqaylik:

Aytaylik, sizda foydalanuvchi nomlari yoki elektron pochta manzillaridan birini biladigan kirish formasi bor.

SELECT * FROM users WHERE email = 'admin@siteemail.ru' AND pass = 'password' LIMIT 1

Parolni taxmin qilish yordam bermasligi mumkin. Biroq, keyin siz maxsus belgi qo'shishga urinib ko'rishingiz mumkin: bitta tirnoq. Natijada, siz kutilmagan xatoga duch kelasiz.

Jurnallar sintaksis xatosi yuz berganligini ko'rsatadi, ya'ni bitta tirnoq paroldan belgi emas, balki kod sifatida o'qilgan. Yagona tirnoq SQLda alohida ma'noga ega va shuning uchun xatoga sabab bo'ladi.

SELECT * FROM users WHERE email = 'admin@siteemail.ru' AND pass = 'password'' LIMIT 1

Agar siz kodning ikkinchi qatoriga qarasangiz, bitta tirnoq sintaksisni butunlay o'zgartiradi. Parolning har ikki tomonidagi bir juft qo'shtirnoq bu kod satrida parol qayerdan boshlanib, tugashini ko'rsatadi. Shuning uchun, bu belgilar orasidagi hamma narsa parol deb hisoblanishi kerak. Biroq, parolning oxiriga qo'shimcha tirnoq qo'shish orqali siz kutilganidan tezroq parol ma'lumotlariga ega bo'lasiz. Kutilmagan xatolik xakerga ushbu forma SQL in'ektsiyasiga qarshi himoyasiz bo'lishi mumkinligini aytadi, chunki u forma maydonlariga kiritilgan narsalarni aynan qanday terilgan bo'lsa, shunday qilib oladi va ma'lumotlar bazasiga yuboradi.

Aytgancha, bu xaker uchun qiziqarli ma'lumot. Ushbu ma'lumotlar ularga ma'lumotlar bazasi buyruqlarni qanday boshqarishi haqida tushuncha beradi.

Shunday qilib, biz parol maydoniga ' yoki 1=1 - kiritdik.

SELECT * FROM users WHERE email = 'admin@siteemail.ru' AND pass = '' or 1=1--' LIMIT 1

Bu bizga tizimga kirish imkonini berdi. Nega? Yuqorida aytib o'tganimizdek, bitta tirnoq parol maydonini tugatdi. Va 1=1, biz kiritgan narsa tizimdagi haqiqiy qiymatga aylanadi.

Keyin - ma'lumotlar bazasi TRUE dan keyin hamma narsani e'tiborsiz qoldiradi. Shunday qilib, foydalanuvchi autentifikatsiya qilindi, chunki kod parol to'g'ri ekanligini ko'rsatuvchi haqiqiy qiymatni qaytardi.

WordPress SQL qarshi hujumlarining turlari

Oldingi bo'limdagi misol juda oddiy SQL in'ektsion hujumining kichik tasviridir. Aksariyat WordPress dasturlari allaqachon ushbu turdagi hujumlardan himoyalangan. U klassik tarmoqli SQL in'ektsiyasi sifatida tanilgan.

Ushbu klassik SQL in'ektsiyalaridan tashqari yana bir nechta toifalar mavjud. Biroq, boshqa turlar haqida gapirishdan oldin, WordPress saytlari kontekstida bilish uchun foydali bo'lgan bir nechta atamalar mavjud:

  • Veb ilova: Ko'pgina veb-xavfsizlik manbalari veb-ilovalarga nisbatan SQL in'ektsion hujumlarini tushuntiradi. Bizning maqolamizda biz WordPress saytlari haqida alohida gapiramiz. Shuning uchun, bu holda veb-ilova veb-sayt hisoblanadi. Bu foydalanuvchi o'zaro aloqada bo'lgan old qismdir va aslida bu uni veb-saytning orqa qismidan, ya'ni ma'lumotlar bazasidan ajratib turishi kerak.
  • Veb-server: Bu sizning WordPress veb-saytingizni joylashtiradigan veb-server. Barcha veb-saytlar hosting kompaniyalarining veb-serverlarida saqlanadi.
  • So'rovlar/Javoblar: Internetdagi aloqa so'rovlar orqali amalga oshiriladi. Bir kishi o'z brauzeri yordamida saytingiz bilan muloqot qiladi. Brauzer veb-serverga so'rov yuboradi, so'ngra ushbu so'rov mazmunini qayta ishlaydi va javobni shaxsning brauzeriga yuboradi. Misol uchun, agar siz Google-da veb-sayt havolasini bossangiz, veb-sayt serveriga so'rov yuboriladi. Javob shundaki, veb-sayt brauzeringizga yuklangan.
  • Kanal: Kanal inyeksiya hujumlari va bu hujum natijalari uchun foydalaniladigan aloqa usulidir. Inyeksiya hujumlarining quyidagi toifalarida asosiy farq kanal hisoblanadi. Tarmoq ichidagi hujumlarda javob kanali so'rov bilan bir xil bo'ladi. Biroq, kanal mantiqiy hujumlar va tarmoqdan tashqari hujumlar uchun farq qiladi. WordPress saytlariga kelsak, xaker saytdan hujum qilish uchun foydalanadi. Agar hujum natijalari saytning o'zida ko'rinadigan bo'lsa, SQL in'ektsiyasi xuddi shu kanaldan foydalanilgani aytiladi.

Hujum turlari

  • In-band SQL Injection/Classic SQ Injection: Asosiy tizim qanday ishlashini tushunishning turli usullari mavjud va xatolar va boshqa tizim xabarlari bu fikrni olishning yaxshi usulidir. In-band SQL in'ektsiyalari asosan bajarilishi uchun SQL bayonotlarini yuboradi va natijalar bir xil sahifada ko'rsatiladi. Klassik SQL inyeksion hujumlarining ikkita asosiy turi mavjud:
    Xatoga asoslangan hujum: Bu erda in'ektsiyadagi SQL bayonoti ataylab noto'g'ri sintaksis yoki kiritishni o'z ichiga oladi. Amalga oshirilganda, tizim xato xabarini qaytaradi. Ushbu xato xabariga asoslanib, xaker ma'lumotlar bazasi haqidagi ma'lumotlarni birlashtirishi mumkin. Xato xabarlari ishlab chiquvchilar uchun iloji boricha foydali bo'lishi va ularga xatolarni tezda aniqlash imkonini berishi kerak. Bu ushbu funktsiyani qo'pol ravishda suiiste'mol qilishdir.
    Asoslangan hujumga qo'shiling: Birlashma bayonotlari ikki yoki undan ortiq bayonotlarni bittaga birlashtirgan SQL buyruqlari. Ushbu zaiflikdan ta'sirlangan veb-saytlar oddiy so'rov oxirida zararli so'rovni belgilab qo'yadi, shunda u amalga oshiriladi. Natijalar sahifada HTTP javobi sifatida ko'rsatiladi.
  • Inferensial SQL Injection/Ko'r SQ Injection: Tarmoqli SQL in'ektsiya hujumlaridan farqli o'laroq, SQL so'rovlarining xatolari yoki natijalari sahifada ko'rsatilmaydi. Shunday qilib, xaker har xil turdagi ma'lumotlarni sinab ko'radi va keyin ma'lumotlar bazasi qanday ishlashini aniqlash uchun natijadagi xatti-harakatni tahlil qiladi. Buni ko'rshapalaklar shoxi kabi o'ylab ko'ring. Signal ob'ektlardan sakrab tushganda, ko'rshapalak ob'ektning o'lchami va masofasini, shuningdek, u oziq-ovqat yoki tahdid ekanligini aniqlay oladi. SQL in'ektsion inferensial hujumlarining ikkita asosiy turi mavjud:
    Mantiqiy hujum: Xaker birinchi navbatda haqiqiy natija berishi va veb-ilovaning harakatini kuzatishini biladigan so'rov yuborishdan boshlaydi. Bunga har doim to'g'ri bo'ladigan 1=1 kabi shart misol bo'la oladi. Xaker so'rov noto'g'ri deb hal qilinganda xatti-harakatni kuzatadi. Ushbu ma'lumotlar bilan ular ma'lumotlar bazasi haqiqat va yolg'onga qanday munosabatda bo'lishini bilishadi. Xaker bu ma'lumotdan ma'lumotlarni olish uchun qanday foydalanishi darhol aniq bo'lmasligi mumkin. Biroq, xaker endi mohiyatan bir qator rost-noto‘g‘ri savollardan iborat so‘rovlarni yaratishi mumkin. Masalan, administrator hisobi parollarini chiqarish uchun xaker parollar belgisini harflar, raqamlar va maxsus belgilar roʻyxatiga qarab tekshirishi mumkin. Ushbu ro'yxat cheklanganligi sababli, parol asta-sekin ochiladi. Qabul qiling, bu juda ko'p vaqt talab qiladigan zerikarli jarayon. Biroq, xakerlar buni bir necha daqiqada sodir bo'ladigan tarzda avtomatlashtiradilar.
    Vaqtga asoslangan hujum: Nazariy jihatdan mantiqiy hujumga o'xshash, vaqtga asoslangan hujum haqiqiy/noto'g'ri natijaga emas, balki vaqtni kechiktirishga tayanadi. Agar so'rov to'g'ri bo'lsa, javob birozdan keyin qaytariladi. Agar yo'q bo'lsa, bu darhol sodir bo'ladi.

Inferentsial SQL Injection hujumlari qanday tuzilganligi sababli ko'proq vaqt talab qilishi mumkin. Biroq, bu ularni kamroq xavfli qilmaydi.

  • SQ diapazondan tashqari inyeksiya hujumi: Ushbu turdagi hujumlar SQLi inferentsial hujumlaridan keyingi qadamdir. Tarmoqdan tashqari SQL in'ektsiya hujumlarida javoblar veb-saytda umuman ko'rsatilmaydi.

Shunday qilib, SQLi tarmoqdan tashqari hujumlar asosiy tizimni odatda xaker tomonidan boshqariladigan boshqa tizimga javob yuborishga majburlash orqali ishlaydi.

SQL in'ektsiyasi orqali zararli dastur saytingizga qanday ta'sir qiladi?

Zararli dastur veb-saytga katta zarar va yo'qotishlarni keltirib chiqaradi. U resurslarni yeydi, tashrif buyuruvchilarni olib ketadi va juda ko'p stressni keltirib chiqaradi. Odatda administrator vahima qiladi. Bundan tashqari, buzib kirilgan veb-saytlarda ko'rilgan ba'zi zararli dasturlarning ta'siri:

  1. Organik portlashlar;
  2. Google saytingizni qora ro'yxatga kiritadi;
  3. Yandex saytingizni bloklaydi;
  4. Sayt xavfli deb belgilangan;
  5. Veb-xost saytingizni to'xtatmoqda;
  6. Mehmonlar saytingizga tashrif buyurishni to'xtatadilar.

Ushbu ro'yxat muammolarning sirtini ham tirnab o'tirmaydi - ular faqat eng dahshatli muammolardir. Muxtasar qilib aytganda: zararli dastur hech qachon engil qabul qilinmasligi kerak.

Chiqish

WordPress ma'muri o'z veb-saytidagi WordPress SQL in'ektsiya zaifliklarini yumshatish uchun hamma narsa yangilanganligiga ishonch hosil qilishdan tashqari kam narsa qila oladi. Biroq, yaxshi WordPress xavfsizlik devori xakerlarning ushbu zaifliklardan foydalanishiga to'sqinlik qiladi, shuning uchun veb-sayt xavfsiz bo'lib qoladi. WordPress xavfsizligini ta'minlash uchun har qanday administrator qila oladigan eng yaxshi narsa bu xavfsizlik plaginini o'rnatishdir.

Ushbu maqolani o'qish:

O'qiganingiz uchun tashakkur: SEO HELPER | NICOLA.TOP

Bu post qanchalik foydali bo'ldi?

Baholash uchun yulduzcha ustiga bosing!

O'rtacha reyting 5 / 5. Ovozlar soni: 413

Hozircha ovoz yo'q! Ushbu xabarni birinchi bo'lib baholang.

Teglar:

Sizga ham yoqishi mumkin...

Fikr bildirish

Email manzilingiz chop etilmaydi. Majburiy bandlar * bilan belgilangan

5 × ikki =