فروشگاهی مرجع برای ارائه فایلهای نایاب در زمینه معماری، کامپیوتر، گرافیک و غیره

,وبلاگ مورد نظر در جهت ارائه فایلهای نایاب و کمیاب در زمینه های مختلف کامپیوتر، معماری، کتاب و غیره و با هدف افزایش آگاهی عزیزان و دسترسی راحت تر آنها به این محصولات، فعالیت می کند.

فروشگاهی مرجع برای ارائه فایلهای نایاب در زمینه معماری، کامپیوتر، گرافیک و غیره

تشخیص و جلوگیری از حملات SQL injection با استفاده از یک روش ترکیبی، فیلتراسیون و تکنیک های رمزنگاری در برنامه های کاربردی وب

دراین بخش از فروشگاه متادانلود به ارائه نمونه پروپوزال مهندسی کامپیوتر با موضوع تشخیص و جلوگیری از حملات SQL injection می پردازیم .

تشخیص و جلوگیری از حملات SQL injection

با رشد اینترنت، برنامه های کاربردی وب مانند کسب و کار آنلاین، خرید، پذیرش دانشگاه، ایمیل شبکه های اجتماعی و فعالیت های مختلف دولتی بانکداری آنلاین و ایمیل مبتنی بر وب، به بخش جدایی ناپذیری از زندگی روزانه ی بسیاری از مردم تبدیل شده است. بسیاری از خدمات آفلاین به خدمات آنلاین منتقل شده اند. توانایی دسترسی به شبکه از هر نقطه و هر زمان یک مزیت بزرگ است، با این حال، هر قدر وب محبوب تر می شود، حملات وب نیز افزایش می یابد. داده ها و اطلاعات مورد نیاز در جداول موجود در بانک اطلاعاتی ذخیره شده و در صورت نیاز، بازیابی می شوند. دسترسی به این اطلاعات از طریق اجرای پرس و جوهای ایجاد شده در برنامه بر روی بانک اطلاعاتی صورت می گیرد. تزریق SQL، تکنیک حمله ای است که به طور گسترده از زبان ساخت یافته پرس و جو SQL استفاده می کند.

حمله تزریق SQL منابع سیستم را مانند حملات دیگر هدر نمی دهد، با این حال به دلیل توانایی آن برای به دست آوردن/وارد کردن اطلاعات از/به بانک های اطلاعاتی، این حمله تهدید بزرگی برای سرورهای سیستم های نظامی و یا بانکی است. SQL Injection به تکینیک تزریق meta-character و commandهای SQL در فیلدهای ورودی موجود در صفحات وب اشاره می کند به گونه ای که باعث تغییر عملکرد SQLquery نهایی شده و با هدف استخراج داده از بانک اطلاعاتی و نیز فرار از مکانیزم شناسایی کاربران توسط برنامه کاربردی، انجام می شود. بررسی ها نشان می دهد تمام حملات SQL injection ساختار اصلی پرس و جو را تغییر می دهند.

حملات XSS معمولا با تزریق مقداری از کدهای HTML و JavaScript شروع می شود. با توجه به اینکه در چند ساله ی اخیر رویکرد برنامه های تحت وب به سمت وب 2 و استفاده از انواع و اقسام تکنیک های Ajax بوده است، لذا می توان تقریبا مطمئن بود که مرورگر یک کاربر کدهای جاوا اسکریپت را اجرا می نماید و با تزریق نمودن مقداری از کدهای مخرب در صفحه می توان امنیت اطلاعات کاربر را تهدید نمود.اولین نکته برای جلوگیری از حملات XSS، اعتبار سنجی داده هایی می باشد که از طرف کاربر دریافت می شود. در اینجا ما می خواهیم یک روش پویا و جدید را برای جلوگیری از حملات تزریق SQL پیشنهاد دهیم. حملات تزریق SQL یک روش برای exploit کردن برنامه های کاربردی وب است که از آسیب پذیری امنیتی در یک وب سرور سوء استفاده می کند. آسیب پذیری تزریق SQL در بین لایه presentation ولایه CGI وجود دارد، در نتیجه حملات بین این دو لایه رخ می دهد.

بسیاری از آسیب پذیری ها به طور تصادفی در مرحله توسعه برنامه کاربردی پدیدار می شوند. نفوذگر سعی می کند با تزریق کلمات کلیدی SQL یا عملکرد ها به درون پرس و جو، ساختار آن را تغییر دهد. ورودی دریافت شده از سوی کاربر به عنوان بخشی از پرس و جو در نظر گرفته شده در نتیجه ممکن است ساختار و به دنبال آن نتیجه اجرای پرس و جو با آنچه مد نظر برنامه نویس بوده است متفاوت باشد. در صورت موفقیت، ورودی کاربر به عنوان توکن SQL در نظر گرفته می شود و مفهوم پرس و جو کاملا عوض شده و اجرای آن نتیجه متفاوتی به دنبال خواهد داشت. در اینصورت نفوذگر به راحتی میتواند به صورت کنترل نشده وارد سیستم شده و یا به اطلاعات موجود در بانک اطلاعات، دسترسی پیدا کند. بررسی یکی از حملات SQL injection ، استفاده از UNION کلمه کلیدی UNIO باعث می شود SQL نتیجه اجرای چندین پرس و جو را در قالب یک مجموعه برگرداند.....