SQL Injection Attacks and possible Remedies
Książka opisuje zagrożenia dla bazy danych. Przedstawiamy opisy i przykłady ataków różnego typu.
Prezentujemy również metodologię zapobiegania atakom SQL injection. Koncentruje się ona na zapytaniach SQL i procedurach składowanych SQL, w których parametry wejściowe są wstrzykiwane przez atakującego. Wstrzykiwanie kodu SQL odnosi się do klasy ataków polegających na wstrzykiwaniu kodu, w których dane dostarczone przez użytkownika są zawarte w zapytaniu SQL w taki sposób, że część danych wejściowych użytkownika jest traktowana jako kod SQL.
Nawet jeśli wstrzyknięty kod zostanie przechwycony przed wykonaniem, administratorzy często otrzymują informacje, które nie identyfikują wyraźnie związku między poleceniami, które próbowano wykonać, zasobami, które były zagrożone, nałożonymi zagrożeniami i środkami zaradczymi, którymi dysponuje. Aby rozwiązać te problemy, potrzebne jest repozytorium ataków SQL injection, które są sklasyfikowane w świadomym semantycznie, łatwym do zrozumienia modelu.