SQL permite comunicarea cu datele stocate \u00een baze de date, fie c\u0103 sunt stocate local sau g\u0103zduite pe servere web la distan\u021b\u0103. Aceast\u0103 limb\u0103 ne permite s\u0103 extragem \u0219i s\u0103 modific\u0103m informa\u021bii folosind scripturi sau programe mici. Multe servere care stocheaz\u0103 informa\u021bii pentru servicii sau aplica\u021bii se bazeaz\u0103 pe SQL.<\/p>\n\n\n\n
A\u0219a cum explic\u0103 OPSWAT, un atac de injec\u021bie SQL vizeaz\u0103 aceste servere, folosind cod mali\u021bios pentru a extrage datele stocate. Aceast\u0103 situa\u021bie poate deveni deosebit de \u00eengrijor\u0103toare dac\u0103 datele stocate includ informa\u021bii private ale clien\u021bilor, cum ar fi numerele de card de credit, numele de utilizator, parolele sau informa\u021biile clasificate.<\/p>\n\n\n\n Unele exemple prevalente de injec\u021bie SQL constau \u00een:<\/p>\n\n\n\n \u00cen acest tip de atac cibernetic, utilizatorul este vizat mai degrab\u0103 dec\u00e2t serverul, deoarece atacul se execut\u0103 \u00een browserul utilizatorului atunci c\u00e2nd acceseaz\u0103 site-ul, nu pe serverul propriu-zis. O metod\u0103 pentru astfel de atacuri cross-site este injectarea de cod mali\u021bios \u00eentr-un comentariu sau script care se execut\u0103 automat. Atacurile cross-site scripting pot d\u0103una grav reputa\u021biei unui site web, compromi\u021b\u00e2nd informa\u021biile utilizatorilor f\u0103r\u0103 a l\u0103sa urme sau indica\u021bii ale unei activit\u0103\u021bi mali\u021bioase.<\/p>\n\n\n\n Cross-site scripting (XSS) este o form\u0103 de atac cibernetic \u00een care indivizi r\u0103u inten\u021biona\u021bi injecteaz\u0103 un script d\u0103un\u0103tor \u00eentr-un site web, care este apoi procesat \u0219i executat. Acest atac se bazeaz\u0103 de obicei pe \u00eencrederea site-ului \u00een datele de intrare ale utilizatorului \u0219i presupune trimiterea unei URL care con\u021bine payload-ul d\u0103un\u0103tor c\u0103tre utilizatorul \u021bint\u0103. Scopul principal al atacurilor XSS este de a fura date personale, cookie-uri de sesiune \u0219i de a utiliza tehnici de inginerie social\u0103, printre alte obiective. Exist\u0103 trei tipuri principale de atacuri XSS, iar acum vom discuta fiecare tip \u0219i pa\u0219ii necesari pentru a ne proteja de ele:<\/p>\n\n\n\n De la descoperirea ini\u021bial\u0103 a vulnerabilit\u0103\u021bii, au fost realizate cercet\u0103ri extinse \u00een acest domeniu. Pe m\u0103sur\u0103 ce limbajele de programare progreseaz\u0103, apar noi metode de a exploata Cross-Site Scripting, datorit\u0103 diversit\u0103\u021bii limbajelor de programare \u0219i abord\u0103rilor de dezvoltare web. Un exemplu interesant este JSFuck, un stil de programare care utilizeaz\u0103 doar \u0219ase caractere \u0219i care poate genera \u0219i executa cod JavaScript cu caractere minime, bazat pe limbajul JavaScript \u00eensu\u0219i. Este esen\u021bial s\u0103 se ia \u00een considerare acest stil de programare atunci c\u00e2nd se dezvolt\u0103 strategii pentru a atenua orice form\u0103 de Cross-Site Scripting.<\/p>\n\n\n Aceste atacuri implic\u0103 inunda\u021bia unui site web cu trafic, determin\u00e2nd serverul s\u0103 devin\u0103 cople\u0219it de solicit\u0103ri \u0219i s\u0103 nu poat\u0103 afi\u0219a con\u021binut utilizatorilor. \u00cen multe cazuri, aceste atacuri cibernetice sunt executate simultan de mai multe calculatoare, f\u0103c\u00e2ndu-le deosebit de greu de contracarat. Atacatorii pot proveni din diverse adrese IP din \u00eentreaga lume, ceea ce complic\u0103 \u0219i mai mult identificarea sursei poten\u021biale.<\/p>\n\n\n\n Aceast\u0103 atac cibernetic vizeaz\u0103 incapacitatea unui sistem, aplica\u021bii sau ma\u0219ini, bloc\u00e2nd serviciul dorit. Atacul poate viza sursa de informa\u021bie (de exemplu, o aplica\u021bie), canalul de comunicare sau re\u021beaua de calculatoare. Serverele web au o capacitate limitat\u0103 de a gestiona cereri sau conexiuni de utilizatori; dep\u0103\u0219irea acestui limit poate \u00eencetini sau opri r\u0103spunsul serverului, provoc\u00e2nd posibile deconect\u0103ri. Denial of Service (DoS) \u0219i Distributed Denial of Service (DDoS) sunt dou\u0103 tehnici de realizare a acestor atacuri. Principala diferen\u021b\u0103 este num\u0103rul de computere sau IP-uri care particip\u0103 la atac.<\/p>\n\n\n\n \u00cen atacurile DoS, numeroase cereri c\u0103tre serviciu provin de la aceea\u0219i ma\u0219in\u0103 sau adres\u0103 IP, consum\u00e2nd resursele furnizate. \u00cen cele din urm\u0103, serviciul devine cople\u0219it \u0219i \u00eencepe s\u0103 resping\u0103 cererile, duc\u00e2nd la refuzul serviciului. Atacurile DDoS, pe de alt\u0103 parte, implic\u0103 mai multe calculatoare sau adrese IP care viz\u00e2nd simultan acela\u0219i serviciu. Atacurile DDoS sunt mai greu de detectat deoarece cererile provin din diverse IP-uri, ceea ce face imposibil pentru administratori s\u0103 blocheze IP-ul care face cererea, a\u0219a cum ar putea \u00een atacurile DoS.<\/p>\n\n\n\n Computerele care particip\u0103 la un atac DDoS sunt recrutate prin infectare cu malware, transform\u00e2ndu-le \u00een bo\u021bi sau zombi pe care infractorii cibernetici \u00eei pot controla de la distan\u021b\u0103. Un grup de bo\u021bi, adic\u0103 calculatoare infectate cu acela\u0219i malware, formeaz\u0103 o re\u021bea de bo\u021bi cunoscut\u0103 sub denumirea de re\u021bea de zombi. Aceast\u0103 re\u021bea are o capacitate semnificativ mai mare de a cople\u0219i serverele dec\u00e2t un atac realizat de o singur\u0103 ma\u0219in\u0103.<\/p>\n\n\n\n![\"atac](\"http:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/04\/common-SQL-injection.jpg\")
<\/figure>\n\n\n\n\n
Scripting \u00eentre site-uri (XSS)<\/strong><\/h2>\n\n\n
![\"Scripting](\"http:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/04\/Cross-Site-Scripting-XSS.jpg\")
<\/figure>\n\n\n\n\n
Evolu\u021bia Cross-Site Scripting (XSS)<\/h3>\n\n\n
Denial of Service (DoS) \u0219i Distributed Denial of Service (DDoS)<\/strong><\/h2>\n\n\n
![\"refuzul](\"http:\/\/securitybriefing.net\/wp-content\/uploads\/2023\/04\/Denial-of-service-DoS-and-DDoS.jpg\")
<\/figure>\n\n\n\n