; UPDATE admin_login SET password
= newpas5 WHERE login_name= neo- -
Чтобы ввести(INSERT) новую запись в БД:
; INSERT INTO admin_login ( login_id ,
login_name , ’password , details ) VALUES (666,’neo2 , newpas5 , NA )- -
Теперь входим в систему как
neo
с паролем
newpas5
.
Для предотвращения подобных атак необходимо проверять вводи-
мые пользователем данные, cookies файлы иданные, передающиеся в
параметрах URL. Саму базу оставить без особых привилегий, а так-
же отключить хранимые процедуры (master..xp_cmdshell, xp_startmail,
xp_sendmail, sp_makewebtask).
Вывод.
Анализ результатов показывает перспективность исполь-
зования для неавторизованнного доступа к серверу web-приложений
механизма подложных SQL-запросов. Рассмотрены все действия по
проникновению в БД — начиная от неавторизованного доступа к ин-
формации и заканчивая получением прав администратора сервера. Да-
ны основные рекомендации по противодействию подобным атакам.
СПИСОК ЛИТЕРАТУРЫ
1. К р о у ф о р д Ш., Р а с с е л Ч. Справочни к разработчи ка. – СПб.: Изд-во
Эком, 2004. – 1300 с.
2. Л е б е д ь С. В.
Межсетевое экранирование. – М.: Изд-во МГТУ
им. Н.Э. Баумана, 2002. – 300 с.
3.
/.
4.
.
5.
.
Статья поступила в редакцию 19.05.2005
Николай Викторович Медведев родился в 1954 г., окончил в
1977 г. МВТУ им. Н.Э. Баумана. Канд. техн. наук, зав. кафедрой
“Информационная безопасность” МГТУ им. Н.Э. Баумана. Ав-
тор 45 научных работ в области исследования и разработки
защищенных систем автоматической обработки информации.
N.V. Medvedev (b. 1954) graduated from the Bauman Moscow
Higher Technical School in 1977. Ph. D. (Eng.), head of “Data
Safety” department of the Bauman Moscow State Technical
University. Author of 45 publications in the field of study and
development of secured systems of automatic data processing.
ISSN 0236-3933. Вестник МГТУ им. Н.Э. Баумана. Сер. “Приборостроение”. 2006. № 3 81