- SQL इंजेक्शन एक कोड इंजेक्शन तकनीक है जो आपके डेटाबेस को नष्ट कर सकती है।
- SQL इंजेक्शन सबसे आम वेब हैकिंग तकनीकों में से एक है।
- SQL इंजेक्शन वेब पेज इनपुट के माध्यम से SQL कथनों में दुर्भावनापूर्ण कोड की नियुक्ति है।
SQL इंजेक्शन (SQLi) क्या है और इसे कैसे रोकें? [What is SQL Injection (SQLi) and How to Prevent It?]
SQL इंजेक्शन (SQLi) एक प्रकार का Injection attack है जो दुर्भावनापूर्ण SQL कथनों को निष्पादित करना संभव बनाता है। ये स्टेटमेंट वेब एप्लिकेशन के पीछे डेटाबेस सर्वर को नियंत्रित करते हैं। एप्लिकेशन सुरक्षा उपायों को बायपास करने के लिए हमलावर SQL इंजेक्शन कमजोरियों का उपयोग कर सकते हैं। वे वेब पेज या वेब एप्लिकेशन के Certification और Authority के आसपास जा सकते हैं और संपूर्ण SQL डेटाबेस की सामग्री को पुनः प्राप्त कर सकते हैं। वे डेटाबेस में रिकॉर्ड जोड़ने, संशोधित करने और हटाने के लिए SQL इंजेक्शन का भी उपयोग कर सकते हैं।
SQL Injection Vulnerability किसी भी वेबसाइट या वेब एप्लिकेशन को प्रभावित कर सकती है जो SQL डेटाबेस जैसे MySQL, Oracle, SQL सर्वर, या अन्य का उपयोग करती है। अपराधी इसका उपयोग आपके संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त करने के लिए कर सकते हैं: ग्राहक जानकारी, व्यक्तिगत डेटा, व्यापार रहस्य, बौद्धिक संपदा, और बहुत कुछ। SQL इंजेक्शन हमले सबसे पुराने, सबसे प्रचलित और सबसे Dangerous Web Application Vulnerabilities में से एक हैं। OWASP संगठन (ओपन वेब एप्लिकेशन सिक्योरिटी प्रोजेक्ट) अपने OWASP टॉप 10 2017 दस्तावेज़ में इंजेक्शन को वेब एप्लिकेशन सुरक्षा के लिए नंबर एक खतरे के रूप में सूचीबद्ध करता है। आधुनिक वेबसाइटों में लॉगिन पेज, सर्च पेज, सपोर्ट और प्रोडक्ट रिक्वेस्ट फॉर्म, शॉपिंग कार्ट, फीडबैक फॉर्म आदि शामिल हैं।
उपयोगकर्ता-इनपुट फ़ील्ड की उपलब्धता के कारण ये वेबसाइट सुविधाएँ SQL इंजेक्शन हमलों के लिए असुरक्षित हैं। एक हमलावर आसानी से मनमाने ढंग से SQL Statements को Execute कर सकता है यदि ये वेबसाइटें SQL इंजेक्शन के लिए Prone हैं। यह डेटाबेस की अखंडता से समझौता कर सकता है और संवेदनशील डेटा को उजागर कर सकता है।
%20in%20hindi.jpg "SQL Injection (SQLi) क्या है?")
उपयोग किए गए बैक-एंड डेटाबेस के आधार पर, SQL इंजेक्शन कमजोरियों के परिणामस्वरूप इंजेक्शन हमलों के विभिन्न स्तर हो सकते हैं। हमलावर मौजूदा प्रश्नों में हेरफेर कर सकते हैं, उप-चयनों का उपयोग कर सकते हैं या अतिरिक्त प्रश्न जोड़ सकते हैं। कुछ मामलों में, फाइलों को पढ़ना या लिखना भी संभव हो सकता है। साथ ही, हमलावर रूट ऑपरेटिंग सिस्टम (OS) पर Execute shell command कर सकते हैं।
कुछ SQL सर्वर जैसे Microsoft SQL सर्वर संग्रहीत और विस्तारित प्रक्रियाओं को शामिल करते हैं। यदि कोई SQL इंजेक्शन हमलावर इन प्रक्रियाओं तक पहुँच प्राप्त करता है, तो इससे अत्यधिक अवांछनीय परिणाम हो सकते हैं। गलत तरीके से कोड की गई वेबसाइट और वेबएप हमेशा इस तरह के हमले के शिकार होते हैं।
इंजेक्शन के हमलों से बचने का आदर्श तरीका लाइव होने से पहले वेबसाइटों और वेब ऐप्स की कमजोरियों का पता लगाना है। स्वचालित SQL इंजेक्शन स्कैनर हैं जो प्रवेश परीक्षकों को संभावित SQL इंजेक्शन हमलों के लिए वेबसाइटों और वेब ऐप्स की भेद्यता को सत्यापित करने में मदद करते हैं। यह वेब व्यवस्थापक को कमजोर कोड को तुरंत ठीक करने और वेबसाइटों को किसी भी संभावित SQL इंजेक्शन हमलों से बचाने में मदद करता है।
Post a Comment
Blogger FacebookYour Comment Will be Show after Approval , Thanks