Technika SQL injection - její metody a způsoby ochrany

Thumbnail Image

Files

final-thesis.pdf (3.45 MB)
 review_127646.html (5.41 KB)

Date

Authors

Bahureková, Beáta

Advisor

Referee

Mark

A

Journal Title

Journal ISSN

Volume Title

Publisher

Vysoké učení technické v Brně. Fakulta podnikatelská

ORCID

Abstract

SQL injection je technika namierená proti webovým aplikáciám využívajúcim SQL databázu, ktorá môže predstavovať obrovské bezpečnostné riziko. Ide v nej o vloženie kódu do SQL databáze, pričom tento útok využíva zraniteľnosti v databázovej alebo aplikačnej vrstve. Hlavným cieľom mojej diplomovej práce je oboznámenie sa s podstatou SQL injection, pochopenie jednotlivých metód tejto útočnej techniky a ukázanie si spôsobov ako sa proti nej možno brániť. Prácu možno rozdeliť na tieto hlavné časti, ktoré rozoberiem nasledovne. V úvodnej časti práce zmieňujem teoretické východiska týkajúce sa SQL injection problematiky. Nasledujúca kapitola je zameraná na jednotlivé metódy tejto techniky. Analytická časť je venovaná zmapovaniu súčasného stavu testovacích subjektov, skenovacích nástrojov, ktoré tvoria základ pre optimálne skúmanie a testovanie jednotlivých SQLi metód, ktoré sú v tejto časti rozobraté z praktického hľadiska spolu s analýzou príkazov. V poslednej časti budem implementovať SQLi metódy na vybrané subjekty a na základe výstupov vytvorím univerzálne návrhové riešenie ako sa proti takýmto útokom brániť.
SQL injection is a technique directed against web applications using an SQL database, which can pose a huge security risk. It involves inserting code into an SQL database, and this attack exploits vulnerabilities in the database or application layer. The main goal of my thesis is to get acquainted with the essence of SQL injection, to understand the various methods of this attack technique and to show ways to defend against it. The work can be divided into these main parts, which I will discuss as follows.In the introductory part of the work I mention the theoretical basis concerning SQL injection issues. The next chapter is focused on individual methods of this technique. The analytical part is devoted to mapping the current state of test subjects, scanning tools, which form the basis for optimal research and testing of individual SQL methods, which are discussed in this part from a practical point of view along with the analysis of commands. In the last part I will implement SQL methods on selected subjects and based on the outputs I will create a universal design solution how to defend against such attacks.

Description

Keywords

SQL , Cyber Security , SQL injection , SQLi , detection , Code Injection , cyber-attack , SQL , Cyber Security , SQL injection , SQLi , detection , Code Injection , cyber-attack

Citation

BAHUREKOVÁ, B. Technika SQL injection - její metody a způsoby ochrany [online]. Brno: Vysoké učení technické v Brně. Fakulta podnikatelská. 2020.

Document type

Document version

Date of access to the full text

Language of document

cs

Study field

Informační management

Comittee

doc. RNDr. Bedřich Půža, CSc. (předseda) doc. Ing. Radek Doskočil, Ph.D., MSc (místopředseda) doc. Mgr. Veronika Novotná, Ph.D. (člen) Ing. Jan Luhan, Ph.D., MSc (člen) Ing. Bernard Neuwirth, Ph.D., MSc (člen)

Date of acceptance

2020-09-09

Defence

otázka vedoucí - odpovězeno otázka oponent - odpovězeno doc. Doskočil - Vysvětlete, jak lze chápat jednotlivé typy ochran? odpovězeno doc. Doskočil - Z jakých podkladů jste vycházela při analýze rizik? odpovězeno Ing. Neuwirth - Zkoumala jste, zda čtyři techniky případové studie splňovaly požadavky již před Vaším testování? odpovězeno

Result of defence

práce byla úspěšně obhájena

DOI

URI

http://hdl.handle.net/11012/195484

Collections

2020

Endorsement

Review

Supplemented By

Referenced By

Citace PRO