نقاط ضعف SQL پاشنه آشیل شبکه های سازمانی

 

دادستانی آمریکا علیه پنج شهروند روسی و اکراینی به اتهام نفوذ و سرقت اطلاعات کاربران از شبکه موسسات مالی مختلف در جهان، اعلام جرم کرد.
طبق اسناد ارائه شده از سوی دادستانی، این نفوذگران با سوء استفاده از نقاط ضعف نرم افزارهای تحت وب و به روش SQL Injection توانسته اند مشخصات حدود ۱۶۰ میلیون کاربر را به دست آوردند و طی هفت سال، بیش از ۳۰۰ میلیون دلار از موسسات مالی نظیر NASDAQ، JCP و Discover Bank سرقت کنند. بر اساس اطلاعیه دادستانی آمریکا، این نفوذگران در اغلب اوقات از روش های پیچیده برای نفوذ و سرقت اطلاعات استفاده نمی کردند و تنها روش رایج و قدیمی SQL Injection را به کار می بردند.

در یک مورد، نفوذگران از نقاط ضعف SQL در بخش بازیابی رمز عبور (Forgot Password) در یک سایت برای نفوذ به آن استفاده کرده اند. با سوء استفاده از این نقاط ضعف، نفوذگران دسترسی مستقیم به شبکه و بدون نیاز به مجوز، پیدا کرده بودند. در چند مورد نیز نفوذگران از خطاهای انسانی در برنامه نویسی SQL سوء استفاده کرده و توانسته بودند دسترسی محدود ولی کافی برای نصب بدافزار و جاسوس افزارهای خود را به دست آورند.

در حملات SQL Injection نفوذگران از ضعف و اشتباهات برنامه نویسی نرم افزارهای کاربردی تحت وب سوء استفاده می کنند. در این گونه موارد، نرم افزار، آسیب پذیر نمی تواند داده های وارد شده توسط کاربر را به درستی کنترل و تایید نماید. به گزارش شبکه گستر، در این حالات، نفودگران با وارد کردن فرامین مخرب و ارسال آنها به بانک اطلاعاتی مرتبط، به آن بانک اطلاعاتی دست یافته و یا به سیستم های دیگر در شبکه دسترسی پیدا می کنند.

اصلاح و ترمیم نقاط ضعف SQL اغلب راحت و آسان است ولی پیدا کردن آنها دشوار می باشد. در یک نرم افزار کاربردی بزرگ، شاید صدها نقطه ورود اطلاعات توسط کاربر وجود داشته باشد و هر یک از این نقاط می تواند موقعیتی برای اجرای حملات SQL Injection به شمار آید.

سوء استفاده از نقاط ضعف SQL سال هاست که تبدیل به روش رایجی برای نفوذگران شده است. روش SQL Injection همیشه در صدر فهرست روش های مورد علاقه نفوذگران قرار می گیرد.

بازنگری برنامه های تحت وب برای شناسایی نقاط ضعف امنیتی در آنها و استفاده از دیوارهای آتش ویژه نرم افزارهای تحت وب (Web Application Firewall) از جمله اقداماتی است که می توان جهت مقابله با حملات SQL Injection انجام داد.

طبیعی است که بازنگری برنامه های نرم افزاری احتیاط به زمان، تخصص، ابزار و صرف هزینه دارد. ولی به کارگیری دیوارهای آتش برای سرورهای تحت وب نسبتاً سریع و آسان می باشد.

هیچ نکته و مطلب ناشناخته ای درباره حملات SQL Injection وجود ندارد. می دانیم که این حملات چگونه انجام می شود و می دانیم که راه های مقابله و مسدود ساختن این حملات چیست. پس دیگر بهانه ای برای کسی باقی نمی ماند تا مورد حمله و نفوذ قرار گیرد!