Жубанышбай Д.Б.
ИССЛЕДОВАНИЕ МЕТОДОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ SQL-АТАК *
Аннотация:
в исследовании рассмотрена уязвимость веб-приложений к SQL-инъекциям, проведена атака в лабораторной среде с использованием инструмента SQLmap. Анализ сетевого трафика и ответов веб-сервера показал успешное выполнение атаки и получение критической информации о базе данных, включая логины и пароли пользователей. Для предотвращения таких атак предложены превентивные меры, такие как использование параметризованных запросов и ограничение прав доступа. Также разработаны правила для NGFW, которые эффективно блокируют SQL-инъекции, анализируя HTTP-трафик и ключевые символы SQL-запросов. Выводы исследования подтверждают важность регулярного аудита и безопасности веб-ресурсов.
Ключевые слова:
SQL-инъекция, сканер уязвимости, базы данных
P-трафик и ключевые символы SQL-запросов. Выводы исследования подтверждают важность регулярного аудита и безопасности веб-ресурсов.Ключевые слова: SQL-инъекция, сканер уязвимости, базы данных.TTSQL-инъекция – одна из наиболее распространенных и опасных уязвимостей веб-приложений, позволяющая злоумышленникам выполнять произвольные SQL-запросы к базе данных. Актуальность данной угрозы обусловлена ее простотой реализации и широким применением в реальных атаках, что может привести к утечке данных, изменению информации и нарушению работы систем [1-5].В рамках данного исследования была проведена атака с использованием SQL-инъекций в специально разработанной лабораторной среде. SQL-инъекция осуществлялась с целью последующего получения трафика сети и анализа, зафиксированного в процессе атаки. В ходе анализа были отфильтрованы запросы, задействованные при выполнении SQL-инъекций, а также проанализированы ответы веб-сервера на эти запросы. На основании этого анализа были предложены превентивные меры для предотвращения уязвимостей, связанных с SQL-инъекциями.Лабораторная среда состояла из двух виртуальных машин: на одной из них была установлена операционная система Kali Linux для проведения атаки, на другой – веб-ресурс на базе Debian. Для выполнения атаки использовался инструмент SQLmap, который был выбран на основании сравнительного анализа различных инструментов для реализации SQL-инъекций. Для мониторинга и фильтрации сетевого трафика использовался Wireshark.Атака SQL-инъекций была реализована с помощью команды, выполненной на хосте Kali Linux с использованием SQLmap (рис. 1).Рисунок 1. Фрагменты использования инструмента SQLmap.Инструмент обнаружил уязвимость на веб-ресурсе по IP-адресу 192.168.56.102 и сгенерировал запросы для определения имени базы данных. Анализ сетевого трафика между хостами Kali и Debian показал обмен значительным количеством пакетов, что подтверждало успешное выполнение атаки.В ходе атаки были использованы различные виды SQL-инъекций, такие как Boolean-based Blind, Error-based, Time-based Blind и Union Query. В результате выполнения SQL-запросов веб-сервер возвращал сообщения об ошибках, которые раскрывали структуру базы данных, версию операционной системы и имя веб-сервера. В частности, было выявлено, что веб-сервер работает на операционной системе Linux Debian 6 (squeeze) с использованием PHP 5.3.3 и Apache 2.2.16, а база данных представляет собой MySQL (табл. 6).Получение информации о базах данных является ключевым этапом эскалации атаки, так как злоумышленники могут получить доступ к таблицам, извлечь содержащиеся в них данные или удалить базы данных целиком. В рамках исследования было установлено, что веб-ресурс содержит две базы данных: information_schema и photoblog.С помощью SQL-запросов были извлечены следующие данные: – вывод списка всех таблиц базы данных через системную таблицу. Имена таблиц были отображены в формате JSON, что позволило выявить три таблицы: USERS, PICTURES и CATEGORIES.Второй запрос был направлен на получение списка столбцов и их типов из таблиц, что позволило извлечь важные метаданные.Третий запрос нацелен на получение данных о пользователях, таких как ID, LOGIN и PASSWORD из таблицы users с использованием функций и для представления данных в формате JSON.В результате атаки SQL-инъекции был получен полный доступ к базе данных веб-ресурса, включая данные о логинах и паролях пользователей, что позволило злоумышленникам войти в административную панель веб-ресурса. Помимо этого, была извлечена информация о операционной системе хоста, технологиях веб-разработки, структуре баз данных, их таблицах и столбцах.Таким образом, SQL-инъекция в данном исследовании продемонстрировала серьёзные угрозы безопасности веб-ресурсов и подтвердила необходимость разработки и внедрения превентивных мер, таких как использование параметризованных запросов, ограничение прав доступа к базам данных и регулярный аудит безопасности.Поскольку основной целью нашего исследования является исследование методов обеспечения информационной безопасности от SQL-атак, мы изучили принципы, особенности работы сканеров обнаружения уязвимостей SQL-инъекций, выяснили, какие методы, подходы используются, и на практике создали лабораторную среду для проведения атак SQL-инъекций, подробно разобрались с алгоритмом атаки.С помощью технологии NGFW были разработаны правила, которые анализируют трафик на уровне presentation сетевой модели для обнаружения атак SQL-инъекций и используют несколько методов для выявления потенциальных атак. В таблице ниже приведены основные подходы и правила, которые можно реализовать для обнаружения атак SQL-инъекций с помощью технологии NGFW.Одним из основных методов определения атаки SQL – инъекции является определение основных операторов SQL в структуре URL-адресов и запросов. Технология NGFW может анализировать HTTP-трафик и установить правило поиска ключевых слов, специфичное для запросов SQL-инъекций.Правила для технологии NGFW: Символ комментария часто используется для завершения запросов SQL-инъекций или для сокрытия других частей кода SQL. Соответственно, актуально правило определения использования комментариев в ходе атаки SQL-инъекций.Правила для технологии NGFW: Запрос должен быть заблокирован, если запросы содержат следующие последовательности: ключевые слова SQL предшествуют одной кавычке ( ) или другим уникальным комбинациям символов (например, несколько кавычек подряд). для этого было разработано правило фильтрации подозрительных символов и комбинаций.Правила для технологии NGFW: Если в запросе закодировано подозрительное количество символов или символов, характерных для атаки SQL-инъекций, запрос будет заблокирован.Правила для технологии NGFW: Приведенный выше список правил помогает идентифицировать атаки, специфичные для SQL-инъекций, путем анализа содержимого запросов, параметров и типичных шаблонов атак.Мы считаем, что предлагаемые правила эффективно защищают веб-ресурсы от атак SQL-инъекций, поскольку мы видим, что передовые организации в мире защищают свои ресурсы от внешних атак благодаря упомянутому методу, подходам.
Номер журнала Вестник науки №10 (79) том 2
Ссылка для цитирования:
Жубанышбай Д.Б. ИССЛЕДОВАНИЕ МЕТОДОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ SQL-АТАК // Вестник науки №10 (79) том 2. С. 504 - 509. 2024 г. ISSN 2712-8849 // Электронный ресурс: https://www.вестник-науки.рф/article/17760 (дата обращения: 28.04.2025 г.)
Вестник науки СМИ ЭЛ № ФС 77 - 84401 © 2024. 16+