Ін’єкція SQL – один із розповсюджених способів злому сайтів і програмного забезпечення, що працює з базами даних і ґрунтується на підстановці у запит довільного коду.
Ін’єкція SQL, залежно від типу використовуваної СКБД і умов ін’єкції, може дати можливість хакеру виконати довільний запит до бази даних, одержати можливість читання й/або запису локальних файлів і виконання команд на сервері, що зазнає атаки.
Припустимо, що сервер, одержавши вхідний параметр id, використовує його для створення SQL-запиту. Розглянемо наступний сценарій мовою PHP:
[слайд на стор. 57, Lect_8.pdf]
Якщо на сервер передано параметр id, який дорівнює 5, то виконається наступний SQL-запит: [слайд на стор. 58, Lect_8.pdf].
Лекція 9
БЕЗПЕКА ВІДКРИТИХ СИСТЕМ
Політики інформаційної безпеки
Політика інформаційної безпеки регламентує низку правил. Вона змушує співробітників робити необхідні для безпеки речі. Політика має велике значення для організації і є найбільш важливою роботою відділу інформаційної безпеки. Політика встановлює правила, які:
ü Визначають конфігурацію систем;
ü Дії службовців організації, у звичайних умовах й у випадку непередбачених обставин.
Політика виконує дві основні функції:
ü Визначає безпеку усередині організації;
ü Визначає місце кожного службовця в системі безпеки.
Якою має бути безпека
Політика визначає способи розгортання безпеки. Сюди входить:
ü Правильне настроювання комп’ютерних систем і мереж відповідно до вимог фізичної безпеки;
ü Встановлення порядку здійснення службовцями своїх обов’язків, пов’язаних з питаннями безпеки;
ü Визначення поводження користувачів при використанні комп’ютерних систем, розміщених в організації;
ü Формування порядку реагування у випадку будь-яких непередбачених обставин (якщо відбувається інцидент, політики та процедури встановлюють порядок дій і виконувані завдання, спрямовані на усунення наслідків цього інциденту).
Визначення місця кожного працівника
Ця система правил є досить важливою та серйозною і є необхідною частиною діючої в організації програми безпеки. Важливо, щоб всі служби працювали у взаємодії для побудови надійної системи безпеки:
ü Політика показує основні напрямки діяльності працівників компанії в цій спільній роботі.
ü Політики та процедури визначають завдання і цілі програми безпеки.