Az SQL lehet\u0151v\u00e9 teszi a kommunik\u00e1ci\u00f3t az adatb\u00e1zisokban t\u00e1rolt adatokkal, f\u00fcggetlen\u00fcl att\u00f3l, hogy helyileg t\u00e1rolj\u00e1k-e vagy t\u00e1voli webszervereken. Ez a nyelv lehet\u0151v\u00e9 teszi sz\u00e1munkra, hogy kinyerj\u00fck \u00e9s m\u00f3dos\u00edtsuk az inform\u00e1ci\u00f3kat szkriptek vagy kis programok seg\u00edts\u00e9g\u00e9vel. Sz\u00e1mos szerver, amely szolg\u00e1ltat\u00e1sok vagy alkalmaz\u00e1sok sz\u00e1m\u00e1ra t\u00e1rol inform\u00e1ci\u00f3kat, SQL-re t\u00e1maszkodik.<\/p>\n\n\n\n
Ahogy az OPSWAT magyar\u00e1zza, egy SQL injekci\u00f3s t\u00e1mad\u00e1s ezeket a szervereket c\u00e9lozza meg, rosszindulat\u00fa k\u00f3dot haszn\u00e1lva a t\u00e1rolt adatok kinyer\u00e9s\u00e9re. Ez a helyzet k\u00fcl\u00f6n\u00f6sen aggaszt\u00f3v\u00e1 v\u00e1lhat, ha a t\u00e1rolt adatok mag\u00e1n\u00fcgyf\u00e9l-inform\u00e1ci\u00f3kat tartalmaznak, p\u00e9ld\u00e1ul hitelk\u00e1rtyasz\u00e1mokat, felhaszn\u00e1l\u00f3neveket, jelszavakat vagy min\u0151s\u00edtett inform\u00e1ci\u00f3kat.<\/p>\n\n\n\n N\u00e9h\u00e1ny elterjedt SQL injekci\u00f3s p\u00e9lda a k\u00f6vetkez\u0151ket tartalmazza:<\/p>\n\n\n\n Ebben a fajta kibert\u00e1mad\u00e1sban a felhaszn\u00e1l\u00f3 a c\u00e9lpont, nem pedig a szerver, mivel a t\u00e1mad\u00e1s a felhaszn\u00e1l\u00f3 b\u00f6ng\u00e9sz\u0151j\u00e9ben hajt\u00f3dik v\u00e9gre, amikor hozz\u00e1f\u00e9r, nem pedig mag\u00e1n a szerveren. Az ilyen cross-site t\u00e1mad\u00e1sok egyik m\u00f3dszere a rosszindulat\u00fa k\u00f3d injekt\u00e1l\u00e1sa egy megjegyz\u00e9sbe vagy szkriptbe, amely automatikusan fut. A cross-site scripting t\u00e1mad\u00e1sok s\u00falyosan k\u00e1ros\u00edthatj\u00e1k egy weboldal h\u00edrnev\u00e9t az\u00e1ltal, hogy vesz\u00e9lyeztetik a felhaszn\u00e1l\u00f3i inform\u00e1ci\u00f3kat an\u00e9lk\u00fcl, hogy b\u00e1rmilyen nyomot vagy jelz\u00e9st hagyn\u00e1nak a rosszindulat\u00fa tev\u00e9kenys\u00e9gr\u0151l.<\/p>\n\n\n\n A Cross-site scripting (XSS) egy olyan kibert\u00e1mad\u00e1s, ahol rosszindulat\u00fa egy\u00e9nek k\u00e1ros szkriptet injekt\u00e1lnak egy weboldalba, amelyet azt\u00e1n feldolgoznak \u00e9s v\u00e9grehajtanak. Ez a t\u00e1mad\u00e1s \u00e1ltal\u00e1ban a weboldal felhaszn\u00e1l\u00f3i bemeneti adatokba vetett bizalm\u00e1ra t\u00e1maszkodik, \u00e9s mag\u00e1ban foglalja egy URL elk\u00fcld\u00e9s\u00e9t, amely tartalmazza a rosszindulat\u00fa payloadot a c\u00e9lzott felhaszn\u00e1l\u00f3nak. Az XSS t\u00e1mad\u00e1sok els\u0151dleges c\u00e9lja a szem\u00e9lyes adatok, munkamenet s\u00fctik ellop\u00e1sa \u00e9s a szoci\u00e1lis m\u00e9rn\u00f6ki technik\u00e1k alkalmaz\u00e1sa, t\u00f6bbek k\u00f6z\u00f6tt. Az XSS t\u00e1mad\u00e1sok h\u00e1rom f\u0151 t\u00edpusa l\u00e9tezik, \u00e9s most megvitatjuk mindegyik t\u00edpust \u00e9s azokat a l\u00e9p\u00e9seket, amelyek sz\u00fcks\u00e9gesek a v\u00e9dekez\u00e9shez.<\/p>\n\n\n\n A sebezhet\u0151s\u00e9g kezdeti felfedez\u00e9se \u00f3ta kiterjedt kutat\u00e1sokat v\u00e9geztek ezen a ter\u00fcleten. Ahogy a programoz\u00e1si nyelvek fejl\u0151dnek, \u00faj m\u00f3dszerek mer\u00fclnek fel a Cross-Site Scripting kihaszn\u00e1l\u00e1s\u00e1ra, a programoz\u00e1si nyelvek \u00e9s a webfejleszt\u00e9si megk\u00f6zel\u00edt\u00e9sek sz\u00e9les sk\u00e1l\u00e1ja miatt. Egy \u00e9rdekes p\u00e9lda a JSFuck, egy programoz\u00e1si st\u00edlus, amely csak hat karaktert haszn\u00e1l, \u00e9s k\u00e9pes JavaScript k\u00f3dot gener\u00e1lni \u00e9s v\u00e9grehajtani minim\u00e1lis karakterekkel, a JavaScript nyelv alapj\u00e1n. Fontos figyelembe venni ezt a programoz\u00e1si st\u00edlust, amikor strat\u00e9gi\u00e1kat dolgozunk ki b\u00e1rmilyen Cross-Site Scripting form\u00e1j\u00e1nak enyh\u00edt\u00e9s\u00e9re.<\/p>\n\n\n Ezek a t\u00e1mad\u00e1sok egy weboldalt forgalommal \u00e1rasztanak el, ami a szerver\u00e9t t\u00falterheli a k\u00e9r\u00e9sekkel, \u00e9s k\u00e9ptelenn\u00e9 teszi a tartalom megjelen\u00edt\u00e9s\u00e9re a felhaszn\u00e1l\u00f3k sz\u00e1m\u00e1ra. Sok esetben ezeket a kibert\u00e1mad\u00e1sokat t\u00f6bb sz\u00e1m\u00edt\u00f3g\u00e9p hajtja v\u00e9gre egyidej\u0171leg, ami k\u00fcl\u00f6n\u00f6sen neh\u00e9zz\u00e9 teszi az ellens\u00falyoz\u00e1st. A t\u00e1mad\u00f3k a vil\u00e1g k\u00fcl\u00f6nb\u00f6z\u0151 IP-c\u00edmeir\u0151l sz\u00e1rmazhatnak, ami tov\u00e1bb bonyol\u00edtja a potenci\u00e1lis forr\u00e1s azonos\u00edt\u00e1s\u00e1t.<\/p>\n\n\n\n Ez a kibert\u00e1mad\u00e1s c\u00e9lja egy rendszer, alkalmaz\u00e1s vagy g\u00e9p m\u0171k\u00f6d\u00e9sk\u00e9ptelenn\u00e9 t\u00e9tele, akad\u00e1lyozva annak tervezett szolg\u00e1ltat\u00e1s\u00e1t. A t\u00e1mad\u00e1s c\u00e9lozhatja az inform\u00e1ci\u00f3forr\u00e1st (pl. egy alkalmaz\u00e1st), a kommunik\u00e1ci\u00f3s csatorn\u00e1t vagy a sz\u00e1m\u00edt\u00f3g\u00e9pes h\u00e1l\u00f3zatot. A webszerverek korl\u00e1tozott kapacit\u00e1ssal rendelkeznek a k\u00e9r\u00e9sek vagy felhaszn\u00e1l\u00f3i kapcsolatok kezel\u00e9s\u00e9re; ennek a hat\u00e1rnak a t\u00fall\u00e9p\u00e9se lass\u00edthatja vagy le\u00e1ll\u00edthatja a szerver v\u00e1lasz\u00e1t, ami esetleg megszakad\u00e1sokhoz vezethet. A szolg\u00e1ltat\u00e1smegtagad\u00e1s (DoS) \u00e9s az elosztott szolg\u00e1ltat\u00e1smegtagad\u00e1s (DDoS) k\u00e9t technika az ilyen t\u00e1mad\u00e1sok v\u00e9grehajt\u00e1s\u00e1ra. Az els\u0151dleges k\u00fcl\u00f6nbs\u00e9g a t\u00e1mad\u00e1sban r\u00e9szt vev\u0151 sz\u00e1m\u00edt\u00f3g\u00e9pek vagy IP-k sz\u00e1ma.<\/p>\n\n\n\n A DoS t\u00e1mad\u00e1sokban sz\u00e1mos k\u00e9r\u00e9s ugyanarr\u00f3l a g\u00e9pr\u0151l vagy IP-c\u00edmr\u0151l sz\u00e1rmazik, ami a rendelkez\u00e9sre \u00e1ll\u00f3 er\u0151forr\u00e1sokat fogyasztja. V\u00e9g\u00fcl a szolg\u00e1ltat\u00e1s t\u00falterheltt\u00e9 v\u00e1lik, \u00e9s elkezdi elutas\u00edtani a k\u00e9r\u00e9seket, ami szolg\u00e1ltat\u00e1smegtagad\u00e1st eredm\u00e9nyez. A DDoS t\u00e1mad\u00e1sok ezzel szemben t\u00f6bb sz\u00e1m\u00edt\u00f3g\u00e9pet vagy IP-c\u00edmet vonnak be egyszerre ugyanazon szolg\u00e1ltat\u00e1s c\u00e9lz\u00e1s\u00e1ra. A DDoS t\u00e1mad\u00e1sokat nehezebb \u00e9szlelni, mert a k\u00e9r\u00e9sek k\u00fcl\u00f6nb\u00f6z\u0151 IP-kr\u0151l sz\u00e1rmaznak, ami lehetetlenn\u00e9 teszi az adminisztr\u00e1torok sz\u00e1m\u00e1ra, hogy blokkolj\u00e1k a k\u00e9r\u0151 IP-t, ahogy azt a DoS t\u00e1mad\u00e1sok eset\u00e9ben tehetn\u00e9k.<\/p>\n\n\n\n A DDoS t\u00e1mad\u00e1sban r\u00e9szt vev\u0151 sz\u00e1m\u00edt\u00f3g\u00e9pek rosszindulat\u00fa szoftverfert\u0151z\u00e9s r\u00e9v\u00e9n ker\u00fclnek bevon\u00e1sra, botokk\u00e1 vagy zombikk\u00e1 alak\u00edtva \u0151ket, amelyeket a kiberb\u0171n\u00f6z\u0151k t\u00e1volr\u00f3l ir\u00e1ny\u00edthatnak. A botok csoportja, azaz ugyanazzal a rosszindulat\u00fa szoftverrel fert\u0151z\u00f6tt sz\u00e1m\u00edt\u00f3g\u00e9pek, botnetet alkotnak, amelyet zombi h\u00e1l\u00f3zatnak neveznek. Ez a h\u00e1l\u00f3zat jelent\u0151sen nagyobb kapacit\u00e1ssal rendelkezik a szerverek t\u00falterhel\u00e9s\u00e9re, mint egyetlen g\u00e9p \u00e1ltal v\u00e9grehajtott t\u00e1mad\u00e1s.<\/p>\n\n\n\n![\"SQL](\"http:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/04\/common-SQL-injection.jpg\")
<\/figure>\n\n\n\n\n
Keresztoldali szkriptel\u00e9s (XSS)<\/strong><\/h2>\n\n\n
![\"Keresztoldali](\"http:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/04\/Cross-Site-Scripting-XSS.jpg\")
<\/figure>\n\n\n\n\n
A Cross-Site Scripting (XSS) fejl\u0151d\u00e9se<\/h3>\n\n\n
Szolg\u00e1ltat\u00e1smegtagad\u00e1s (DoS) \u00e9s Elosztott szolg\u00e1ltat\u00e1smegtagad\u00e1s (DDoS)<\/strong><\/h2>\n\n\n
![\"Szolg\u00e1ltat\u00e1smegtagad\u00e1s](\"http:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/04\/Denial-of-service-DoS-and-DDoS.jpg\")
<\/figure>\n\n\n\n