SQL injection (SQLi) là một kiểu tấn công mạng chống lại các ứng dụng web sử dụng cơ sở dữ liệu SQL như IBM Db2, Oracle, MySQL và MariaDB.
Đây là cách một ứng dụng web hoạt động bình thường. Người dùng trước tiên nhập thông tin đăng nhập của họ vào biểu mẫu đăng nhập. Sau khi các thông tin đăng nhập này được xác thực thành công, bây giờ họ sẽ có thể truy cập và thực hiện các yêu cầu liên quan đến tài khoản.
Bây giờ, khi lỗ hổng SQL injection tồn tại, một tác nhân đe dọa trái phép bằng cách nào đó có thể bỏ qua quá trình xác thực và đưa các câu lệnh SQL theo cách thủ công để gửi các truy vấn gian lận đến cơ sở dữ liệu. Điều này sẽ cho phép kẻ tấn công xem, sửa đổi và xóa dữ liệu khỏi cơ sở dữ liệu.
SQL injection không chỉ rất phổ biến mà còn rất nguy hiểm vì nó có thể dẫn đến việc truy cập trái phép vào dữ liệu cá nhân, thông tin tài chính, sở hữu trí tuệ và bí mật thương mại. Nó đã được liệt kê là rủi ro số một trong danh sách 10 mối đe dọa bảo mật ứng dụng web hàng đầu của OWASP. Một số lượng lớn các vi phạm dữ liệu là kết quả của các cuộc tấn công SQL injection.
SQL Injection hoạt động như thế nào?
Một cuộc tấn công SQL injection nhắm vào lỗ hổng trong các câu lệnh SQL động. Hãy nghĩ về một câu lệnh SQL động giống như một hàm đa biến trong toán học, trong đó các tham số được cố định, trong khi các giá trị được thay thế trong các biến độc lập xác định kết quả.
Tương tự, một câu lệnh SQL động cũng bao gồm một tập hợp các tham số được xác định trước (chẳng hạn như biểu mẫu web), trong đó câu lệnh hoàn chỉnh chỉ được tạo ra khi người dùng điền vào các đầu vào của họ. Xem ví dụ sau về câu lệnh SQL của biểu mẫu đăng nhập:
SELECT * FROM users WHERE username = ‘$username’ AND password = bcrypt (‘$password’)
Sau khi người dùng nhập tên người dùng và mật khẩu của họ, câu lệnh sẽ được hoàn tất, sau đó một truy vấn sẽ được gửi đến máy chủ để truy xuất thông tin của người dùng từ cơ sở dữ liệu.
Khi một lỗ hổng tồn tại trong một câu lệnh SQL động, kẻ tấn công sẽ có thể nhập các tập lệnh phức tạp vào các biểu mẫu để can thiệp vào các tham số đã có từ trước để thay đổi ý nghĩa của câu lệnh hoàn chỉnh.
Làm thế nào để ngăn chặn SQL Injection?
Về mặt kỹ thuật, cách duy nhất để ngăn chặn cuộc tấn công SQL injection là xác thực đầu vào tại chỗ. Điều này có nghĩa là đầu vào do người dùng nhập phải được theo dõi và làm vệ sinh để lọc ra bất kỳ mã độc hại tiềm ẩn nào.
Đây chính xác là những gì một tường lửa ứng dụng web (WAF) làm. Nó phân tích tất cả các đầu vào do người dùng nhập vào ứng dụng web để tìm bất kỳ kết quả phù hợp nào có mã đáng ngờ.
WAPPLES, cách phòng thủ tốt nhất chống lại SQLi
WAPPLES từ Penta Security là một tường lửa ứng dụng web phát hiện một cách hợp lý các tập lệnh độc hại từ lưu lượng ứng dụng web. Công cụ phát hiện dựa trên quy tắc của nó cho phép đạt hiệu quả tối đa mà không ảnh hưởng đến hiệu suất ứng dụng.
Được điều hành bởi công cụ phát hiện dựa trên quy tắc đã được cấp bằng sáng chế COCEPTM, WAPPLES hiện sở hữu một nhóm gồm 33 quy tắc có thể được tinh chỉnh để tạo ra các chính sách bảo mật tùy chỉnh mạnh mẽ.
Các quy tắc của WAPPLES được xác định một cách tinh vi bằng cách phân tích logic các kiểu tấn công của hàng triệu cuộc tấn công, làm cho nó có hiệu quả ngay cả khi chống lại các cuộc tấn công zero-day. Cập nhật định kỳ và tự chẩn đoán giữ cho nó ở trạng thái tốt nhất, sẵn sàng cho các mối đe dọa mới nhất.
Được trang bị bộ cân bằng tải, WAPPLES có sẵn ở cả dạng phần cứng và phần mềm, bảo vệ các máy chủ tại chỗ và dựa trên đám mây.
Với thị phần số 1 ở khu vực Châu Á Thái Bình Dương, WAPPLES là giải pháp tốt nhất chống lại tất cả các loại tấn công SQL injection.
What Is SQL Injection?
SQL injection (SQLi) is a type of cyberattack against web applications that use SQL databases such as IBM Db2, Oracle, MySQL, and MariaDB.
Here is how a web application normally works. A user first enters their login credentials into the login form. After these credentials are successfully authenticated, they would now be able to access and perform account related requests.
Now, when a SQL injection vulnerability exists, an unauthorized threat actor could somehow skip the authentication process and manually inject SQL statements to send fraudulent queries to the database. This would allow the attacker to view, modify, and delete data from the database.
SQL injection is not only highly common, but also very dangerous as it can lead to unauthorized access to personal data, financial information, intellectual property, and trade secrets. It has been listed as the number one risk on the OWASP top 10 list of web application security threats. A large number of data breaches were the result of SQL injection attacks.
How Does a SQL Injection Attack Work?
A SQL injection attack targets vulnerability in dynamic SQL statements. Think of a dynamic SQL statement like a multivariate function in mathematics, of which the parameters are fixed, while the values substituted in the independent variables determine the result.
Similarly, a dynamic SQL statement also consists of a predetermined set of parameters (such as a web form), of which the complete statement is only generated when a user fills in their inputs. See the following example of a SQL statement of a login form:
SELECT * FROM users WHERE username = ‘$username’ AND password = bcrypt (‘$password’)
After the user enters their username and password, the statement would be completed, after which a query would be sent to the server to retrieve the user’s information from the database.
When a vulnerability exists in a dynamic SQL statement, the attacker would be able to enter complex scripts into the forms to interfere with the preexisting parameters to alter the meaning of the complete statement.
How to Prevent a SQL Injection Attack?
Technically, the only way to prevent a SQL injection attack is to have input validation in place. This means that inputs entered by the users must be monitored and sanitized to filter out any potential malicious codes.
This is exactly what a web application firewall (WAF) does. It analyzes all inputs entered by the users into the web application to find any matches with suspicious codes.
WAPPLES, the Best Defence Against SQLi
Penta Security’s WAPPLES is a web application firewall that logically detects malicious scripts from web application traffic. Its rule-based detection engine allows for maximum efficiency without compromising application performance.
Run by its patented rule-based detection engine COCEPTM, WAPPLES currently possesses a pool of 33 rules that can be fine-tuned to create robust custom security policies.
WAPPLES’ rules are sophisticatedly defined by logically analyzing the attack patterns of millions of attacks, making it effective even against zero-day attacks. Periodic updates and self-diagnostics keep it at its best state ready for the newest threats.
Equipped with a load balancer, WAPPLES is available in both hardware and software forms, protecting on-premises and cloud-based servers.
With the No.1 market share in the Asia Pacific region, WAPPLES is the best solution against all types of SQL injection attacks.