Co to jest SQL injection?
Zapytanie SQL to żądanie wykonania jakiejś czynności w bazie danych, zwykle jest to zapytanie ze strony internetowej pytającej o nazwę użytkownika i hasło. Ponieważ jednak większość stron nie wymaga podania żadnych danych poza nazwami użytkownika i hasłami, haker może wykorzystać pola formularzy do wysyłania własnych żądań, tzn. wstrzykiwania kodu SQL do bazy danych. Tym sposobem hakerzy mogą tworzyć, odczytywać, aktualizować, modyfikować i usuwać dane przechowywane w bazach danych, zwykle w celu pozyskania poufnych informacji, takich jak nr PESEL lub karty kredytowej czy inne dane finansowe.
Czy SQL injection to częsty problem?
Ponieważ atak typu SQL injection może dotknąć dowolnej strony lub aplikacji wykorzystującej bazy danych SQL, jest to jedna z najstarszych, najczęściej spotykanych i najniebezpieczniejszych form cyberataku. Jednak znacznie bardziej niepokojący jest fakt, że liczba ataków typu SQL injection rośnie, ponieważ powstały programy przeprowadzające je automatycznie, dzięki czemu hakerzy mogą atakować i kraść więcej niż kiedykolwiek.
Jak rozpoznać SQL injection?
Niestety, jeśli haker ma choć trochę talentu, wykrycie ataku typu SQL injection jest niemożliwe do momentu udostępnienia Twoich danych lub kradzieży. Jest to prawdą szczególnie w przypadku większości użytkowników, ponieważ nie mogą wiedzieć, że baza do, do której się logują, jest zainfekowana.
Czy da się usunąć kod SQL stworzony w ramach ataku SQL injection?
Ponieważ atak SQL injection celuje w stronę, a nie w urządzenie lub komputer użytkownika, za jego usunięcie odpowiada właściciel strony lub aplikacji. Użytkownicy indywidualni mogą jedynie śledzić nowości ze świata Internetu i doniesienia o złamaniu zabezpieczeń danej firmy, aby następnie szybko zmienić dane do logowania, zanim haker włamie się na ich konto.
Co można zrobić?
Zapobieganie atakom typu SQL injection to obowiązek właściciela strony internetowej lub aplikacji. Ponieważ jednak jest to zagrożenie dobrze znane, większość stron internetowych i aplikacji ma zabezpieczenia chroniące użytkowników.
W Twoim interesie leży zatem stosować się do zasad bezpieczeństwa, jak zawsze, i zabezpieczyć komputer skutecznym programem antywirusowym, np. Avast.