حمله به برنامه های وبی (?)
در بخشهای پیشین از این مجموعه مقالات تعدادی از روشهای حمله به برنامههای وبی معرفی شدند. در ادامه به روشهایی که با استفاده از آنها میتوان به پایگاه داده سیستم نفوذ کرد اشاره میشود.
تزریق SQL
به زبان ساده این نوع حمله وارد کردن کد SQL به یک برنامه است، در شرایطی که توسعه دهنده برنامه قصد آن را نداشته و یا حتی پیشبینی آن را نیز نکرده باشد. ریشه این نوع حملات به ساختار طراحی ضعیف برنامه برمیگردد و تنها در مورد برنامههایی قابل انجام است که از روشهای ساخت رشته های SQL بهره میگیرند.
به مثال زیر توجه کنید:
Dim StrSQL as String = "SELECT CustomerID, CompanyName, ContactName, " & -
"ContactTitle FROM Customers WHERE CustomerID = "" & txtCustID.Text & """
در عبارت فوق با استفاده از روش ساخت رشته به صورت پویا یک رشته SQL تولید میشود که CustomerID با مقدار موجود در txtCustID جایگزین میشود. در شرایط عادی کاربر شناسه خود را در Box وارد مینماید، برنامه اقدام به جستجو در پایگاه داده نموده و پس از آن نتایج برای کاربر نمایش داده میشود. به عنوان مثال اگر کاربر شناسه ALFKI را وارد نماید نتایجی که برنامه تولید میکند به شرح زیر خواهد بود:
لیست کل یادداشت های این وبلاگ
ازدواج با کسی که والدین تمایل ندارند
عشق چیست و آیا لازمه ی ازدواج است؟
اختلاف طبقاتی چه پیامدهایی می تواند به همراه داشته باشد؟
مسائل مهم در دوران نامزدی خانمها
دلواپسی های دوران نامزدی ( قسمت اول)
عشق و عاشقی های دوران نامزدی
نامزدی ،بهترین فرصت عاشقی
راز تفاوت ساختار جسمی و روانی زن و مرد
Emotional Intelligence
[عناوین آرشیوشده]
