SQL Injection எவ்வாறு செயல்படுகிறது? part 2

Database Conversion Tools  வகைகளை பார்ப்போம்

  • MySQL
  • MSSQL                                                                                                 
  • Oracle
  • PostgreSQL
  • SQLite



அடுத்தது SQL injection  types என்னவென்று பார்க்கலாம்
       Error-based SQLi
       Union-based SQLi
       Blind os SQLi
       Time-based Blind SQLi
       Out-of-band SQLi
       In-band SQLi (Classic SQLi)
 இதில் Error-based SQLi , Union-based SQLi அதிகமாக பயன்படடுத்தப்படுகிறது..

இனி SQL injection  Attack செயல்படும் முறையை காண்போம். நான் சென்றப்பதிவில் இது URL vulnerable  எனக்கூறி உள்ளேன் .

இது SQL Injection ஐ விவரிக்கும் படம்
Firewall
Webserver
Application server
Database server
இவை 4 ம் சேர்ந்ததே server  ஆகும்
1) Firewall என்பது WAF (web application firewallஎன அழைக்கப்படும்.இதன் வேலை  நாம் அனுப்பக்கூடிய HTTP Request ஐ filter செய்யும்.சரியான Request ஆக இருந்தால் மட்டுமே Website ல் உள்நுழைய  அனுமதிக்கும்.. ஒரு வேலை Bad Request ஆக இருந்தால் Website ல் உள்நுழைய அனுமதிக்காது. இங்கு Bad Request என்பது malicious SQL statements ஆகும்.

2)Webserver  என்பது   HTTP Request processes செய்யும்

3)Application server என்பது  custom coding அதாவது  (MySQL ,MSSQL, Oracle,PostgreSQL ,SQLite )ன் Program

4)Data base என்பது அனைத்து Login,password ஆகியவற்றை சேமித்து வைத்துள்ள தளம்,( உதாரணமாக நாம் FACEBOOK,GMAIL என பல வகையான தளங்களை பயன்படுத்திக்கொண்டிருக்கிறோம் ,அதில் நாம் login செய்ய  பயன்படுத்தும் Email ID & password போன்ற பல வற்றையும்  DATA BASE ல் தான் store செய்து வைத்து இருக்கும்)

இப்பொது செயல் முறையை பார்ப்போம் 

அதாவது ஒரு attacker (hacker) தனது malicious SQL statements ஐ vulnerability website ல் உள்ளிடுகிறார் (URL மூலமாக) அந்த   HTTP Request ஆனது முதலில் Firewall ஐ சென்றடையும். நாம் கொடுக்கும் malicious SQL statements(Bad Request) ஆனது Firewall (WAF)  ல் Port 80 or 443 வழியாக வந்தடையும். சிலசமயங்களில்  Firewall அந்த Request ஐ Block செய்யும்….. நம்மால்  WAF ஐயும் Bypass செய்ய முடியும். WAF Bypass செய்யும் முறையை அடுத்த பதிவில் கூறுகிறேன்.

அடுத்ததாக Webserver ல் Request processes செய்யப்பட்டு.பிறகு Application server க்கு Request சென்று custom coding உடன் சென்று ஒன்றினையும்.

பிறகு கொடுக்கும்  Command [(malicious SQL statements) (URL மூலமாக) ] மூலம் Database ல் உள்ள தகவல்களை எடுக்க முடியும்

புதியவற்களுக்கு இந்தப்பதிவு கடினமாக இருந்திருக்கும்



  










No comments