تزریق SQL چیست و چگونه آن می تواند به شما صدمه دیده است؟


دانلود مقالات ما گزارش عمق: راهنمای نهایی برای فناوری اطلاعات فروشندگان امنیت

در SQL تزریق حمله مهاجم را به اطلاعات وب سایت است که عمدا به گونه ای است که این نتایج در آن وب سایت آن به گمانم، کمکی و ناخواسته اقدامات فرموله شده ارسال می کند.

بیشتر به طور خاص، وب سایت تفسیر داده های ارسال شده توسط مهاجم به عنوان فرماندهی پایگاه داده است که سپس آن را اعدام کرد. پس اگر فرمان ها در پایگاه داده را تغییر دهید و یا حتی به کل پایگاه داده را حذف نتایج می تواند قابل درک فاجعه بار باشد. به همین دلیل حیاتی است که سازمان های برداشتن قدم برای جلوگیری از حملات تزریق SQL است.

حملات تزریق SQL یک تهدید امنیتی جدی برای سازمان ها مطرح است. حمله تزريق SQL موفق می تواند در اطلاعات محرمانه بودن و حذف از دست رفته یا دزدیده شده نتیجه; وب سایت های مخدوش بودن; دسترسی به سیستم و یا حساب های غیر مجاز و در نهایت، سازش از ماشین های فردی یا کل شبکه.

چگونه حمله تزريق SQL به آثار

تصور کسی در دادگاه است و خواسته است به نام خود را ارائه. به جای نام واقعی خود را “جو Bloggs” دادن آنها به نام “انتشار جو Bloggs.” مورد می آید، بنابراین bailiff او منتشر قاضی کردن “انتشار جو Bloggs،” تماس می گیرد. https://o1.qnsr.com/log/p.gif?;

این نشان می دهد مفهوم حمله تزريق SQL. به جای نام واقعی، متهم عمدا شکل tes ula نامی است که به عنوان یک دستور منجر به ناخواسته تفسیر اقدام در این مورد، انتشار ناخواسته.

گذاشتن تزریق نمونه

در اینجا نمونه ای از چگونه حمله تزريق SQL می تواند در عمل انجام شده است. حمله به تمام اطلاعات در مورد کاربر از پایگاه داده جدول کاربران بدون دانستن نام کاربری یا رمز عبور تطبیق دسترسی طراحی شده است.

ممکن است کد برنامه SQL:

را انتخاب کنید * = از کاربران که در آن نام کاربری رمز عبور و ‘$username’ = ‘$password’

با استفاده از رابط وب حمله وارد کنید ممکن است در صورت درخواست، برای آنها نام کاربری و رمز عبور:

1′ یا ‘1’ = ‘ 1

و

1′ یا ‘1’ = ‘ 1

با وارد کردن این جفت عمدا فرموله شده نام کاربری و رمز عبور، مهاجم است به طور موثر تزریق دو کل یا حل و فصل کردن به پروسه تأیید هویت.

اجازه دهید نگاهی نزدیک تر به مراجعه کنید چگونه.

کد برنامه SQL رشته متن ساده مانند joebloggs برای نام کاربری و دیگر رشته های ساده مانند password123 برای رمز عبور انتظار بود.

آن سپس خط را تجزیه می:

را انتخاب کنید * از کاربران که در آن نام کاربری = ‘$username’ و رمز عبور = “$password”

به

را انتخاب کنید * = از کاربران که در آن نام کاربری رمز عبور و ‘joebloggs’ = ‘ password123

و دسترسی به داده ها برای کاربر joebloggs (اگر یکی وجود دارد) اگر رمز عبور برای آن کاربر password123.

اما مشکل. چه نرم افزار نیست که مهاجم وارد کنید نام کاربری و رمز عبور در این راه با استفاده هوشمندانه از apostrophes فرموله شده بود انتظار داشتم.

نتیجه است که پرس و جو به عنوان تجزیه:

را انتخاب کنید * از کاربران که در آن نام کاربری = ‘1’ یا ‘1’ = ‘1’ و رمز عبور = ‘1’ یا ‘1’ = ‘1’

اگر رمز عبور خود را 1 در حال حاضر نرم افزار دسترسی به داده ها برای هر کاربر و یا اگر 1 = 1. و از وضعیت 1 = 1 است که همیشه درست است، این پرس و جوی SQL همیشه در روند تأیید اعتبار رمز عبور بای پاس شدن منجر شود.

(نمونه کد منبع از OWASP)

در گذاشتن تزریق مثال بالا، دو شرط یا زمانی که برنامه نام کاربری و رمز عبور رشته انتظار بود اما حمله همچنین فرماندهی پایگاه داده مانند رها کردن پایگاه داده، که منجر به از دست دادن تمام اطلاعات را تزریق می تواند تزریق در پایگاه داده ذخیره می شود.

تصور کنید برای مثال یک برنامه پایگاه داده است که یک کارمند به نام خود را وارد یک زمینه و تعدادی مانند شماره تامین اجتماعی را در قسمت بعدی را قادر می سازد و این اطلاعات را در یک پایگاه داده به نام socsecnumbers ذخیره می کند.

برنامه احتمال فرم با بعضی از کد پشت آن به نام در فرم ’employeename’ را قبول داشته باشد. ممکن است قادر به انجام حمله تزريق SQL است که باعث می شود برنامه به اجرا گذاشتن فرمان رها کردن پایگاه داده socsecnumbers، که منجر به حذف و از دست دادن کامل اطلاعات کارمند مخرب (یا حمله خارجی) ذخیره شده در پایگاه.

برای انجام اینکار، به جای ورود به جو Bloggs، مهاجم می تواند نام جو Bloggs وارد کنید ‘); رها کردن پایگاه داده socsecnumbers; — ? نتیجه در فهم برنامه

:

‘جو Bloggs’); رها کردن پایگاه داده socsecnumbers; — ?’

بخش کلیدی این حمله، دوباره، از سوءاستفاده هاي احتمالي علامت است.  نتیجه این “شخصیت پس از جو Bloggs که پایگاه داده فکر می کند آن دریافت نام آن در انتظار به پایان رسید است. از آنجا که شخصیت های بیشتر وارد کرده اید، آن تصمیم می گیرد باید آنها را به عنوان کد SQL تفسیر. The); بنابراین پایگاه داده اجرا فرمان socsecnumbers رها کردن پایگاه داده که عبارت زیر بلافاصله اعدام باید معنی.

هنوز هم خواهد انتهایی ‘ بنابراین برای جلوگیری از بودن نام مشکل که وارد کد استفاده شده است که مهاجم با؛–چون به پایان می رسد; معنای حمل در اجرای قسمت بعدی نام، و–پایگاه داده برای دادن در آن خط چون بقیه این بیانیه باید به درمان به عنوان نظر می گوید.

فقط کار تزریق امنیت

گذاشتن حملات تزریق SQL هنگامی که برنامه به اجرای کد زیرا آن دریافت ورودی کاربر در فرم نیست انتظار فریب خورده است. این بدان معناست که حیاتی گذاشتن تزریق اقدام امنیتی انجام داده sanitization و اعتبار است. این به طور موثر لایه بازرسی به اطمینان حاصل شود که هر گونه اطلاعات ارائه شده غیر معمول است و ممکن است خطر تزریق SQL کیسه می افزاید.

Sanitization معمولا شامل اجرای هر گونه اطلاعات ارائه شده از طریق تابع (مانند خروجی زیر را mysql_real_escape_string تابع ()) اطمینان حاصل شود که هر شخصیت های خطرناک مانند ‘ به SQL سوال در داده ها منتقل شوند.

که در آن شامل اضافه کردن کد است که در تلاش برای اطمینان حاصل شود که هر گونه اطلاعات را مشاهده کنید در فرم است که انتظار می رود در نمونه های خاص که اعتبار کمی متفاوت است. در ابتدایی ترین سطح این اطمینان که حاوی آدرس ایمیل شامل “@” ثبت، زمانی که داده های عددی (مانند کد پستی) انتظار می رود که تنها رقم عرضه شده، و که طول قطعه داده ارسال شده بیش از حداکثر طول مورد انتظار است (بنابراین s شماره تامین اجتماعی نیست بیش از 9 رقمی باید باشد).

اعتبار سنجی اغلب انجام به دو روش: توسط شخصیت های خطرناک و یا ناخواسته blacklisting و whitelisting شخصیت تنها کسانی که در شرایط داده شده مجاز، که می تواند شامل کار بخشی از برنامه های. اگر چه ممکن است اعتبار محل در سمت سرویس گیرنده، هکرها می تواند تغییر و یا دریافت اطراف این، پس از آن ضروری است که تمام داده است دارای اعتبار در سمت سرور نیز به منظور کاهش خطر تزریق SQL.

برای مطالعه بیشتر در برای راه های بیشتری برای کاهش خطر تزریق SQL.

این به روز رسانی 23 ژوئن سال 2016 مقاله

.

بانک آنلاین امنیت و پول خود را به طور جدی گرفتن است

3 مه تا سال 2018
 بانک گرفتن شما پول به طور جدی

نوشته شده توسط پاتریک

به تازگی در ایالات متحده، تعداد بانک ها و اتحادیه های اعتباری ، و دیگر موسسات مالی را به سیستم عامل جدید بانکداری آنلاین منتقل می کند. آنچه به این معنی است که هر کاربر ورود به سیستم خود را تنظیم مجدد اطلاعات بیشتر بود و آنها مجبور به رفتن را از طریق فرایند به دست آوردن دسترسی به حساب کاربری خود را دوباره.

موضوع را با این فرایند این است که آن وحشتناکی ناامن است.

چگونه انتقال فرایند کار می کرد

راه این جدید آنلاین بانکی پلت فرم انتقال کار می کرد، بود که رمز عبور موقت در محل قرار داده شد. این رمز عبور موقت حروف اول چهار نام خانوادگی خود و چهار رقم آخر از شما شماره تامین اجتماعی (SSN).

پس از هشت نویسه وارد بود شما برای ایجاد و پاسخ امنیتی پنج دستور شد. پس از این انجام شد، شما به وارد کنید شماره تلفن تایید، که متن با کد خواهد بود اواخر خواسته شد.

هنگامی که این کد وارد شده بود تمام شده است برای پر کردن در جزئیات مانند نام شما، آدرس ایمیل و روز شماره تلفن.

با همه این زمینه ها به پایان رسید، شما سپس دسترسی به حساب بانکی شما آنلاین داده شد.

عمده مسائل امنیتی با فرایند انتقال

این فرایند انتقال تعدادی از مسائل امنیتی مهم است که به راحتی می تواند منجر به حساب بانکی شما توسط cybercriminal دیده است.

بزرگترین حذف خودنمایی میکند استفاده از نام خانوادگی و SSN به عنوان رمز عبور موقت است. گسترده دانش که تعداد زیادی از بزرگسالان در ایالات متحده تا به حال صندلی SSN خود است که برخی از نقطه در زمان.

جدید ترین نقض اعتباری شرکت Equifax داشتن نام و نشانی و SSN و حتی شماره کارت اعتباری توسط هکرها به سرقت رفته بود. 143 میلیون نفر در ایالات متحده نقض این تحت تأثير قرار گرفت.

این جزئیات هستند اغلب برای فروش در بازار سیاه، شما می توانید خرید مردم تمام هویت و استفاده از آن اطلاعات به باعث ویران کردن.

اگر cybercriminal از روند مهاجرت آگاه است، آنها به راحتی می تواند ورود به حساب بانکی یک فرد و انجام هر چه ميخواهد.

موضوع بعدی را با این روند نیاز به تایید شماره تلفن، این مرحله معرفی به هیچ وجه امنیت. اگر cybercriminal موفق به ورود با رمز عبور موقت، آنها به راحتی می توانید هر شماره تلفن دریافت کد تایید که استفاده کنید.

روش بهتر است؟

گزینه بهتر را می توان به سادگی عبور موقت از طریق پست الکترونیکی ارسال شده اند. بانک ها در بریتانیا را به عنوان مثال. رمز عبور موقت به آدرس با کد داده بنابراین می توانید آن را از طریق نور بخوانید با نشانه گذاری های امنیتی به حساب بانکی در نامه ثبت نام ارسال می کنید.

حتی اگر یکی از حروف قطع می باشد که اطلاعات بی فایده است علاوه بر این روش بسیاری از بانک ها رمز عبور موقت در دو حرف مختلف ارسال.

سخت است می گویند چرا برخی از بانک ها تصمیم به استفاده از یک روش نا امن آن به احتمال زیاد است به صرفه جویی در هزینه در نیاز به ثبت نامه های فیزیکی.

چگونه به مطمئن شوید حساب شده است تحت تاثیر

بهترین کاری که شما می توانید به حساب خود مطمئن شوید در برخی از راه مصالحه شده است این است که به نگه داشتن چشم در هر یک از incomings و مخارج.

اگر شما معامله شما را تشخیص نه، بانک شما فورا تماس بگیرید و مطمئن شوید آنها از این آگاه هستند. این اغلب در یک کارت اعتباری جدید و جزئیات ورود به سیستم با نام تجاری جدید منجر شود.

با استفاده از VPN که بانکداری آنلاین بیش از حد ایده خوبی است، این می افزاید دیگر لایه ای از حفاظت و کمک خواهد شد چشم دور از اطلاعات حساس خود را کنجکاو نگه دارید. مخفی کردن

. من شبکه اختصاصی مجازی امنیت که اولویت با رمزگذاری های سطح بالا نگه می دارد. اگر می خواهید امتحان کنید خدمت شما قبل از خرید اشتراک شما می توانید با ما حساب رایگان مادام العمر.

همین حالا عضو شوید!

چگونه برای تبدیل به ساعت 24 ساعته در نشان دادن اکو & اگر شما ترجیح می دهید قالب ساعت 24 یک ساعت یک نقطه

اکو به جای فرمت معمول 12 ساعته، آمازون اخیراً (و بی سر و صدا) قابلیت تعویض بین دو در نمایش پژواک و اکو نقطه اضافه.

مرتبط با: همه چیز آمازون اکو نشان می توانید انجام دهید که دیگر Echos

و محاوره نمی شناخته شده به عنوان “نظامی زمان”، قالب 24 یک ساعت یک ساعت بسیار محبوب نیست، اما در چند صنایع مختلف استفاده می شود–نظامی (از این رو نام مستعار)، حمل و نقل هوایی و بیمارستان. اگر شما استفاده از این فرمت زمان و اکو مبتنی بر صفحه نمایش، چگونه به سوئیچ بیش از اینجا است.

باز کردن تنظیمات پایین از بالای صفحه کلیک کنید و سپس روی نماد چرخ دنده کوچک بهره برداری. در نمایش اکو، برچسب “تنظیمات” در زیر آیکون وجود دارد.

از وجود دارد، “خانه” & ساعت گزینه (اکو نقطه) “صفحه اصلی گزینه روی صفحه نمایش” (نمایش اکو) را انتخاب کنید.

ضامن سوئیچ “24 ساعت زمان” برای فعال کردن آن.

ساعت خود را در حال حاضر قالب 24 ساعته نمایش.

همه چیز دیگری (مانند تصویر زمینه و تم) باقی می ماند همان.


کریگ لوید می نویسد: در مورد smarthome برای چگونه به گیک و نوکر مشتاق است که دوست دارد سرهم بند با هر چیز و همه چیز در اطراف خانه است. او همچنین متوسط نظر، حمل و نقل هوایی گیک طرفداران بیس بال موتورسوار و اینتروورت افتخار است.

چیزهایی به می دانم مورد تلگراف مسنجر و چگونه به دسترسی

مه 7, 2018
 دسترسی تلگراف در روسیه

نوشته شده توسط پاتریک

تلگراف مسنجر برنامه پیام رسانی است که به خصوص در چند ماه گذشته بسیار محبوب تبدیل شده است با کسانی که در جامعه امنیت سایبر. تلگراف مسنجر به طور کامل پایان به پایان رمزگذاری پیام در مسنجر نرم افزار موجود برای iOS و آندروید را با هم به خوبی را ارائه می دهد.

مرد پشت Durov تلگراف

Pavel لقب روسیه مارک زوکربرگ (اما بدون تکنیک های نظارت جمعی)، 1.7 تریلیون دلار ثروت انباشته است. او اولین بار نام خود را با ایجاد شبکه های اجتماعی روسیه VKontakte، در سال 2006 ساخته شده. تلگراف توسط او و برادرش در سال 2013 cofounded بود.

Durov روسیه را در سال 2014 پس از امتناع از بیش از اطلاعات به دولت روسیه درباره فعالان طرفدار اوکراینی دست چپ. او هم اکنون در دوبی زندگی می کند.

رمزگذاری پشت مقایسه تلگراف

به چیزی مثل مسنجر فیس بوک, تلگراف میلیون مایل جلوتر از نظر امنیتی برای کاربران خود است اما مشکلاتی است.

در حالی که پروتکل رمزنگاری استفاده می کند آن منبع باز است، در مرحله اول، آن لحظه تغییر ساخته شده است به روز شده. ثانیا، رمزگذاری سمت سرور کاملا بسته به منبع و اختصاصی ساخت بسیاری از کاربران آگاه امنیتی عصبی است.

بسیاری از متخصصان امنیت تعجب چرا با استفاده از تلگراف خود پروتکل رمزنگاری امن ثابت شده است که مانند سایر پروتکل های بیشتر به خوبی تثبیت.

نه تنها این، اما پیام ها بصورت پیش فرض رمزگذاری می شود، کاربر به طور متوسط این را بدانید ممکن است، بنابراین مهم است که شما فعال این گزینه اگر شما قصد استفاده از حدود

روسیه است ممنوع تلگراف

روسیه اخیرا آن حق خود را به ساخته شده کاملا ممنوعیت استفاده از تلگراف در کشور. روسیه زمینه های لازم برای سرکوب امثال تروریسم بود.

تلاش های فعلی خود را به مسدود کردن برنامه برای برنامه ریزی رفته است در حالی که حکم دادگاه برای تلگراف به روحانيون،. روسیه جای گرفته شده است از امثال انقباض و Spotify در روند. در زمان نگارش 19 میلیارد نشانی اینترنتی ممنوع اما همچنان تلگراف اطراف آنها.

تلگراف می خواهد به حرکت به Cryptocurrencies

تلگراف مقدار پول برای سرمایه گذاری در حال ظهور فن آوری، به خصوص پس از ساخت عظیم 1.7 میلیارد دلار تا کنون این سال است. یکی از پروژه های خود را به نوعی از نرم افزار blockchain است که می تواند با امنیت خدمات خود را کمک به توسعه است.

بهترین تلگراف جایگزین

برای بسیاری از افراد, برخی از انتخاب های امنیتی ساخته شده توسط تلگراف قرص سخت به بلع هستند. برخی از جایگزین های خوب برای برنامه های پیام رسانی ایمن خوشبختانه وجود دارد.

محبوب ترین از این سیگنال برنامه است که با استفاده از پروتکل رمزنگاری زمزمه منبع باز است. این به این معنی که شما می توانید مطمئن شوید که برنامه هر چیزی خطرناک با پیام های خود را انجام نمی. آن را کاملا به عنوان تجربه به عنوان تلگراف صاف نیست اما هنوز هم واقعا خوب کار.

Threema یکی دیگر از جایگزین های بسیار خوبی است، اما هزینه آن $2.99. امنیت بسیار متمرکز، است که همه چیز از پیام ها به فایل های پیوست شده را رمزگذاری شده است. آنها حتی نمی فراداده فروشگاه.

نتيجه گيري

تلگراف است یک برنامه عالی برای پیام رسانی امن اما isn ‘ تی امن ترین نرم افزار ارسال پیام در خارج وجود دارد. اگر شما به دنبال خوب کنار هم قرار دادن برنامه است که گزینه ها برای ارتباطات رمز شده، تلگراف یک انتخاب بزرگ است.

برای کسانی که به دنبال بیشترین امنیت ممکن تلگراف بهترین انتخاب برای شما باشد. سیگنال است چه تمایل مردم به استفاده از اگر تلگراف همه نیازهای خود را برآورده نمی کند.

تصویب تلگراف است گام در مسیر درست هر چند، که بسیاری از مردم خود را آنلاین جدی تر از قبل در حال نمایش.

دانلود

مجبور به مرد حمله قلبی در فروشگاه مواد غذایی را در دهستان مینه سوتا، 20 نفر اندود و انجام CPR در او برای بیش از یک ساعت و نیم تا متخصصین وارد شده اند و او جان سالم به در.

مجبور به مرد حمله قلبی در فروشگاه مواد غذایی را در دهستان مینه سوتا، 20 نفر اندود و انجام CPR در او برای بیش از یک ساعت و نیم تا متخصصین وارد شده اند و او جان سالم به در.

خرید فیلترشکن

چگونه به حذف نماد فروشگاه مایکروسافت از نوار وظیفه در مایکروسافت ویندوز 10

تصمیم به نماد مایکروسافت فروشگاه به طور مستقیم به نوار وظیفه ویندوز 10 پین زیرا آنها واقعا واقعا واقعا شما را به استفاده از آن را می خواهند. اما ما نمی خواهیم. بنابراین در اینجا به چگونگی عدم اتصال به فروشگاه ویندوز از نوار وظیفه. (آن آسان است).

وقتی اول به 10 ویندوز تعویض چگونه ناامید مایکروسافت این است که شما را وادار به استفاده از فروشگاه App ویندوز را نیز به نام مایکروسافت فروشگاه آن بسیار آشکار می شود — آنها حتی حاضر به چوب تبلیغات همه جا در سیستم عامل. اما زمانی که چیز بهترین جدید در فروشگاه iTunes است, شما احتمالا رفتن به کسی را متقاعد کند.

پس از آن حل و فصل. فروشگاه برود باید. و در حال حاضر، ما خواهد شد آن را از نوار وظیفه شخصی. خوشبختانه از آنجا که شما می توانید بزرگ از نوار وظیفه را به سادگی با کلیک راست روی آن و انتخاب “لغو پیوست به نوار وظیفه” شخصی که فوق العاده آسان است.

برای نقاط پاداش شما نیز فروشگاه مایکروسافت از منوی شروع وجود دارد کلیک راست و انتخاب “شروع شخصی از” عدم اتصال می تواند. این چیزی right-clicking بزرگ، است نه؟

حالا که شما همه هیجان در مورد از بین بردن تمام مزخرف ساخته شده در ویندوز 10، چرا شما خلاص شدن از شر تمام برنامه زباله که همراه مایکروسافت سعی نکنید?

مرتبط با: چگونه به حذف 10 ویندوز برنامه های ساخته شده (و چگونه به نصب مجدد آنها) Heddings لاول


است بنیانگذار و سردبیر چگونه به گیک. او خرج می کند تمام وقت آزاد خود مطمئن شوید در این سایت شما geekery تازه می تواند روزانه به ارمغان بیاورد و تا بیش از یازده سال انجام شده است.

دانلود

پدرم هرگز به حال گربه است اما زمانی که من را دوست دارد او را به خانه می آید بیش از. او بچه گربه گریه خارج از چند روز پیش که از خواب مثل این ترجیح یافت. امیدوارم که او آن را نگه می دارد…

پدرم هرگز به حال گربه است اما زمانی که من را دوست دارد او را به خانه می آید بیش از. او بچه گربه گریه خارج از چند روز پیش که از خواب مثل این ترجیح یافت. امیدوارم که او آن را نگه می دارد…

خرید فیلترشکن

Millennials’ ندارد qualms درباره محصولات GM بر خلاف قدیمی تر دو نسل سوم در 30s تکنولوژی است چیز خوبی برای کشاورزی و حمایت از فنون کشاورزی مربوط به اینده، یک نظرسنجی در بریتانیا است.

Millennials’ ندارد qualms درباره محصولات GM بر خلاف قدیمی تر دو نسل سوم در 30s تکنولوژی است چیز خوبی برای کشاورزی و حمایت از فنون کشاورزی مربوط به اینده، یک نظرسنجی در بریتانیا است.

خرید فیلترشکن