Защита от SQL атак

• Номер работы:
  252123
• Раздел:
  Все работы   →   Дипломные работы   →   Информационная безопасность (ОИБ)
• Год добавления:
  29.04.2013 г.
• Объем работы:
  93 стр.
• Содержание:
  Введение 2
  1. Теоретическая часть 5
  1.1. Особенности внедрения операторов SQL (SQL Injection) 5
  1.1.1.Описание SQL-инъекции как способа атаки 8
  1.1.2. Обзор методов обнаружения аномалий в SQL-запросах к базам данных 13
  1.2. Анализ внутренней безопасности СУБД Oracle. 22
  1.2.1. Проблемы. 23
  1.2.2. Повышение привилегий. 23
  1.2.2.1. Принцип атаки внедрения SQL. 24
  1.2.2.2. Внедрение в строковые параметры. 25
  1.2.2.3. Использование UNION. 25
  1.2.2.4. Расщепление SQL-запроса. 26
  1.2.3. Защита от атак типа внедрение SQL-кода. 26
  1.2.3.1. Фильтрация строковых параметров. 27
  1.2.3.2. Фильтрация целочисленных параметров. 28
  1.2.3.3. Усечение входных параметров. 28
  1.2.3.4. Использование параметризованных запросов. 29
  1.2.3.5. Обход Oracle dbms_assert. 30
  1.2.4. Агрегирование данных. 32
  1.2.5. Покушения на высокую готовность (доступность). 33
  2. Результаты теоретического и экспериментального исследования научно-исследовательской работы 34
  2.1. Изучении SQL-injection для различных СУБД (MySQL, PostgreSQL, SQLite, MsSQL.) 34
  2.2. Схема тестирования. 79
  Заключение 87
  Литература 91
• Выдержка из работы:
  Некоторые тезисы из работы по теме Защита от SQL атак
  Изложенное выше говорит о высокой актуальности и значимости работ, проводимых в области обеспечения безопасности автоматизированных систем. В этой связи необходимо констатировать, что методологическая база теории информационной безопасности, как нового научного направления, в настоящее время находится в стадии формирования, о чём говорят работы ведущих отечественных и зарубежных исследователей в этой области, таких как В. Галатенко, В. Герасименко, А. Грушо, П. Зегжда, Д. Деннинг, К. Лендвер, М. Ранум и др. Важно подчеркнуть, что значительное внимание эти учёные уделяют разработке формальных моделей разграничения доступа, защищённых операционных систем и криптографической защиты информации. В тоже самое время вопросы, касающиеся разработки математических моделей информационных атак, процесса их обнаружения и оценки риска, пока не находят должного внимания. Это обосновывает актуальность исследований, проводимых в области разработки формальных моделей информационных атак на автоматизированные системы, а также способов защиты от них.
  Цель и задачи работы. Целью диссертационной работы является повышение эффективности защиты автоматизированных систем от информационных атак. Для достижения поставленной цели в работе решались следующие основные задачи:
  1. Систематизация и анализ существующих типов информационных атак, основанных на методе атаки, известной как SQL-инъекция, а также средств защиты автоматизированных систем.
  2. Разработка моделей информационных атак, основанных на методе атаки, известной как SQL-инъекция
  *
  *
  Теперь у нас есть функция которая может генерировать строку с нужным нам количеством полей. Но тут есть одна неувязка, как я уже писал ранее - не всегда подставляя значение null можно подобрать количество полей. Иногда поля по умолчанию могут не принимать такое значение (not null) и при подобном переборе ошибка будет возникать всегда.
  Давайте сделаем так что бы наша функция умела ставить цифры за место "null". Тип полей будет указываться во втором параметре – если второй параметр равен 1 то строка должна быть из цифр, если же равен 0 или не передан то строка должна состоять из "null". Мы не будем кучу раз проверять что передано во втором параметре, мы просто в конце заменим все 'null' на единицы если второй параметр равен 1