Hasło słownika

SQL injection

Atak polegający na wstrzyknięciu fragmentu zapytania SQL przez dane wejściowe aplikacji.

Cyberbezpieczeństwokategoria
1aliasy
Kategoria: Cyberbezpieczeństwo
Aliasy: SQLi

Opis

SQLi zwykle wynika z budowania zapytań przez konkatenację stringów. Obrona: parametryzacja, ORM, walidacja danych wejściowych, najmniejsze uprawnienia dla kont DB i WAF jako warstwa dodatkowa.

Przykłady

  • Atakujący dopisuje ' OR 1=1 w polu logowania.
  • Wyciąganie danych z bazy przez podatny endpoint.
  • Eskalacja do RCE w niektórych konfiguracjach.
WAFOWASP Top 10Least privilegeLogging