هذه المقالة يتيمة. ساعد بإضافة وصلة إليها في مقالة متعلقة بها
يفتقر محتوى هذه المقالة إلى مصادر موثوقة.
يرجى إضافة قالب معلومات متعلّقة بموضوع المقالة.
يرجى مراجعة هذه المقالة وإزالة وسم المقالات غير المراجعة، ووسمها بوسوم الصيانة المناسبة.

حقن اس كيو ال

من أرابيكا، الموسوعة الحرة
اذهب إلى التنقل اذهب إلى البحث

في المحوسبة ، يعد حقن اس كيو ال أسلوبا لحقن التعليمات البرمجية يستخدم لمهاجمة التطبيقات التي تعتمد على البيانات حيث يتم إدخال عبارات لغة الاستعلامات المهيكلة الضارة في حقل إدخال للتنفيذ (مثال لتفريغ محتويات قاعدة البيانات للمهاجم). يجب أن يستغل إدخال SQL ثغرة أمنية في برنامج أحد التطبيقات ، مثال ، عندما تتم تصفية إدخال المستخدم بشكل غير صحيح تسلسل الهروب الحرفي للسلسلة المضمنة في عبارات SQL أو لم تتم كتابة إدخال المستخدم بشكل واضح وكذالك يتم تنفيذه بشكل غير متوقع. يُعرف حقن اس كيو ال في الغالب باسم ناقل الهجوم في مواقع الويب ولكن يمكن استخدامه لمهاجمة أي نوع من انواع قواعد بيانات اس كيو ال.

تسمح هجمات الحقن اس كيو ال للمهاجمين بانتحال الهوية ، والتلاعب في البيانات الموجودة ، والتسبب في مشكلات التنصل مثل إلغاء المعاملات أو تغيير الأرصدة ، والسماح بالكشف الكامل عن جميع البيانات الموجودة على النظام ، أو إتلاف البيانات أو جعلها غير متوفرة بأي طريقة أخرى ، وأن يصبحوا مسؤولين عن خادم قاعدة البيانات. يمكن أيضًا أن تتأثر قواعد بيانات ان او اس كيو ال الموجهة للمستندات بهذه الثغرة الأمنية.

في دراسة أجريت في عام 2012 ، لوحظ أن متوسط في تطبيق الويب تلقى اربع حملات هجومية شهريًا ، وتلقى تجار التجزئة بلغ ضعف عدد الهجمات على مثل الصناعات الأخرى.

التاريخ

بدأت المناقشات العامة الأولى لحقن SQL في الظهور في حوالي عام 1998 ؛ على سبيل المثال ، مقال نُشر في عام 1998 .

الستمارة

تم اعتبار حقنSQLI) أحد أهم 10 ثغرات أمنية في تطبيقات الويب لعامي 2007 و 2010 من قبل Open Web Application Security Project . في عام 2013 ، تم تصنيف اس كيو ال على أنها الهجوم رقم واحد على العشرة الأوائل في OWASP. هناك أربع اقسام فرعية رئيسية لحقن SQL:

  • إدخال SQL + مصادقة غير كافية
  • حقن SQL + هجمات DDoS
  • حقن SQL + اختطاف DNS
  • حقن SQL + XSS

تعد Storm Worm أحد تمثيلات اس كيو ال اي المركبة.

يمثل هذا التصنيف حالة اس كيو ال اي ، مع احترام تطورها حتى عام 2010 - مزيد من التحسين قيد التنفيذ.