Инъекция

Атака при помощи инъекции подразумевает внесение некоторых сторонних команд или данных в работающую систему с целью изменения хода работы системы, а в результате - получение доступа к закрытым функциям и информации, либо дестабилизации работы системы в целом. Наиболее популярна такая атака в сети Интернет, но также может быть проведена через командную строку системы.

SQL-инъекция - атака, в ходе которой изменяются параметры SQL- запросов к базе данных. В результате запрос преобретает совершенно иной смысл и способен не только произвести вывод конфедициальной информации, но и изменить/удалить данные. Очень часто такой вид атаки можно наблюдать на примере сайтов, которые используют параметры командной строки (в данном случае - переменные URL) для построения SQL-запросов к базам данных без соответствующей проверки.

Межсайтовый скриптинг или XSS (от англ. Cross Site Scripting) - атака, аналогичная SQL-инъекции, но для проведения этой атаки кракер меняет не SQL-запрос, а внутренние переменные действующей системы (например, переменные окружения РНР, Perl и т.д.), используя недочеты в обработке входных параметров скриптов либо ошибки в настройке скрипт- обрабатывающих приложений. Другие названия: CSS, реже - скрипт- инъекция.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >