Εδώ είναι μια κατανομή:
* Περιορισμοί τείχους προστασίας: Τα τείχη προστασίας εξετάζουν τον φάκελο *της επικοινωνίας του δικτύου, όχι το *περιεχόμενο *. Μπορούν να αποκλείσουν τις συνδέσεις από συγκεκριμένες διευθύνσεις IP ή να βασίζονται σε αριθμούς θύρας (όπως να εμποδίζουν όλες τις συνδέσεις στη θύρα 3306, την προεπιλεγμένη θύρα MySQL), αλλά αυτή είναι μια προσέγγιση ευρείας βούρτσας. Ένας εκλεπτυσμένος εισβολέας θα μπορούσε να χρησιμοποιήσει άλλα λιμάνια ή μεθόδους για να παρακάμψει αυτούς τους απλούς κανόνες. Δεν μπορούν να επιθεωρήσουν το ωφέλιμο φορτίο δεδομένων για κακόβουλες εντολές SQL.
* Η ένεση SQL εμφανίζεται εντός της εφαρμογής: Η επίθεση συμβαίνει αφού το τείχος προστασίας έχει ήδη επιτρέψει τη σύνδεση. Ο εισβολέας εισάγει κακόβουλο κώδικα SQL σε μια φόρμα ιστού ή άλλο πεδίο εισόδου. Αυτός ο κωδικός μεταφέρεται στη συνέχεια στον διακομιστή βάσης δεδομένων *από την ίδια την εφαρμογή *, την οποία το τείχος προστασίας δεν γνωρίζει. Το τείχος προστασίας δεν κατανοεί το πλαίσιο των δεδομένων της εφαρμογής.
* Data Obfuscation: Οι επιτιθέμενοι μπορούν να χρησιμοποιήσουν τεχνικές για να παραβιάσουν τον κώδικα έγχυσης SQL, καθιστώντας πιο δύσκολο να εντοπιστούν ακόμη και προηγμένα τείχη προστασίας. Αυτό μπορεί να περιλαμβάνει την κωδικοποίηση ή τη χρήση ασυνήθιστων χαρακτήρων.
Εν ολίγοις, ένα τείχος προστασίας είναι μια πρώτη γραμμή άμυνας, αλλά δεν είναι μια ασημένια σφαίρα ενάντια σε ευπάθειες σε επίπεδο εφαρμογής όπως η SQL ένεση. Τα κατάλληλα μέτρα ασφαλείας σε επίπεδο εφαρμογής, όπως παραμετροποιημένα ερωτήματα, επικύρωση εισόδου και κωδικοποίηση εξόδου, είναι ζωτικής σημασίας για την πρόληψη της έγχυσης SQL. Τα τείχη προστασίας εφαρμογών Web (WAFs) μπορούν να παρέχουν πρόσθετη προστασία, επιθεωρώντας την κυκλοφορία εφαρμογών για γνωστά πρότυπα έγχυσης SQL, αλλά ακόμη και οι WAFs δεν μπορούν να πιάσουν όλες τις επιθέσεις.
Πνευματικά δικαιώματα © Γνώση Υπολογιστών Όλα τα δικαιώματα κατοχυρωμένα