Interaktyvios saugos sistemos prototipas apsaugai nuo injekcinių atakų / Interactive security system prototype to protect against injections attacks

Žukas, Mantas

05 November 2013

Darbas apie apsisaugojimo metodiką nuo injekcinių atakų naudojant Bekaus ir Nauro formą. Pasirinkta įvesties patikros strategija (blacklist), realizuotas reguliarių išraiškų transformacijos algoritmas. Sukurtas pradinis injekcinių atakų aprašas. Transformuojant aprašo sematiką į reguliarių išraiškų masyvus yra suformuojamos tikrinimo taisyklės. Pagal suformuotas taisyklės yra nustatoma, ar sistemos įvesties parametrai atitinka injekcinių atakų aprašą. Sukurtas saugos sistemos prototipas apsaugai nuo injekcinių atakų. / In this research the injection attack prevention method is introduced. Also the interactive security system prototype to protect against injections attacks is proposed. Security system prototype is using blacklist input validation strategy for checking input parameters. Each list item consists of a single type of injection attack description. Descriptions are written in Backus–Naur form.

Informatics Engineering

SQL injekcijos

Xpath injekcijos

Įvesties patikra

SQL injections

Xpath injections

Input validation

Apsaugos nuo SQL injekcijų el.verslo svetainėse metodikos sudarymas ir tyrimas / Development and research of method of protection against SQL injections in e-commerce websites

Ramoška, Aidas

04 November 2013

SQL injekcijos atakos taikinys – interaktyvios interneto programos, kurios naudoja duomenų bazės serverius. Šios programos leidžia vartotojams įvesti informaciją ir ją įvedus formuojamos SQL užklausos, kurios siunčiamos į duomenų bazės serverį. Darydamas SQL injekcijos ataką, atakuotojas per įvesties laukus suformuoja kenksmingą SQL užklausos segmentą, kuris modifikuoja buvusią užklausą. Naudodamas SQL injekcijos ataką, atakuotojas gali prieiti prie konfidencialios informacijos, ją modifikuoti ar, apeidamas autorizacijos scenarijų, prisijungti prie sistemos nežinodamas slaptažodžio. Šiame darbe pasiūlytas saugos modulis perima visą vartotojo įvedamą informaciją, pritaiko saugumo taisykles ir taip padidina saugumą apsisaugant nuo SQL injekcijų el. verslo žiniatinklio programose bei registruoja potencialius bandymus sutrikdyti normalų sistemos darbą. Norint įdiegti pasiūlytą saugos modulį, nereikia konfigūruoti serverio ar jo programinės įrangos – modulio diegimo metu keičiasi tik žiniatinklio programos failai. Darbui atlikti pasirinkta PHP programavimo kalba ir MySQL duomenų bazė. Tyrimo metu atlikti testavimo rezultatai parodo, kokius saugos modulio konfigūravimo parametrus reikia taikyti norint užtikrinti maksimalų saugumo lygį. / The target of SQL injection attack – interactive web programs, which use database servers. Those programs allow users to input information and as it is imputed, it forms SQL queries, which are sent into database server. With SQL injection help, the attacker using input fields forms harmful section of SQL query, which modifies previous query. Exploiting attack of SQL injection, the attacker may learn confidential information, modify it or connect to system without knowing the password by authorisation bypass. In this research-paper the proposed security model takes over all information inputted by user, adjusts the safety rules and that way it improves the safety in order to guard from SQL injections at electronic business web systems as well as it register potential attempts to disrupt normal work of the system. In order to install the proposed safety model there is no need to configure the server or its software because in the moment of installation it changes only files of website programs. For purpose of executing this work, we use PHP programming language and MySQL database. During the analysis, the received test results show what configuration parameters of safety model we need to use in order to guarantee the maximum level of safety.

Informatics Engineering

SQL injekcijos

Duomenų bazės saugumas

El. verslas

Žiniatinklio programų sauga

SQL injections

Database security

E-business

Web application security