Mikä on SQL-Injektio? Ja kuinka siltä suojaudutaan?

Viime aikoina on ollut paljon tietomurtoja useisiin verkkopalveluihin. Tässä yhteydessä on usein mainittu, että hyökkäys on tehty SQL-injektiolla.

Mikä tämä SQL-injektio on?

SQL-injektiossa virheellisesti rakennettuun tietokantakyselyyn onnistutaan lisäämään (“injektio”) osia, jotka sitten tulevat suoritetuksi normaalin kyselyn yhteydessä. SQL injektion onnistuminen edellyttää, että sovelluksessa ei riittävästi tarkisteta ja puhdisteta käyttäjältä tulevaa syötettä, vaan ne päätyvät sellaisenaan tietokantaskyselyyn. Tämän tyyppiset hyökkäykset ovat hyvin yleisiä, sillä niitä tehdään automatisoidusti.

SQL-injektiolta suojautuminen on helpointa, mikäli sovellusta tehdessä käyttää laadukkaita rajapintoja, joilla hyökkäyksen mahdollistava virhe on epätodennäköinen.
Olemassaolevien sovellusten suhteen on vähän keinoja: lähtökohtaisesti vain luotettava sovelluksen tekijään ja asennettava tietoturvapäivitykset ripeästi. Joihinkin ohjelmiin on mahdollista asentaa tietoturvalisäosia, jotka toimivat kahdella tavalla:

• ne suodattavat pyyntöjä tai
• ne seuraavat sekä tarvittaessa estävät tulevia pyyntöä

Pyyntöjen suodattamien on hankalaa siksi, että ohjelman normaali toiminta voi häiriintyä. Pyyntöjen analysointiin perustuvat lisäosat voivat myös erehtyä, kumpaakiin suuntaan: luulemaan laillista pyyntöä hyökkäykseksi ja toisaalta jättää huomaamatta hyökkäyksen. Tämän kaltaisten lisäosien käyttö vaatiikin asiantuntevan seurannan ja konfiguroinnin.

Me tarjoamme haitallisten pyyntöjen tunnistamiseen ja estämiseen perustuvaa tietoturvalisäosaa OsCommmerce-verkkokaupoille. Palvelu sisältää konfiguroinnin ja seurantajakson. Lue lisää →

---