Аналіз методів виявлення вразливостей Web-ресурсів до SQL-ін’єкцій
DOI: 10.31673/2409-7292.2023.030008
Анотація
Ця стаття розглядає проблему вразливостей до SQL-ін'єкцій у веб-додатках та використання автоматизованих сканерів для виявлення цих вразливостей. Вона починається з опису SQL-ін'єкцій та їх наслідків, а також ручної перевірки на вразливості. Далі стаття аналізує різні автоматизовані сканери вразливостей, включаючи Acunetix, Burp Suite, Nessus, OpenVAS, SQLMap, OWASP ZAP та Nikto. Для кожного сканера наведені переваги та недоліки, а також рівень деталізації та функціональні можливості. Стаття закінчується висновками, які підкреслюють важливість розуміння ризиків SQL-ін'єкцій та використання правильних інструментів для їх виявлення. Наголошується на тому, що автоматизовані сканери не є універсальним рішенням, і вони повинні супроводжуватися ручною перевіркою та аналізом. Стаття вказує на необхідність постійного оновлення сканерів та комбінації автоматизованих та ручних методів для забезпечення найвищого рівня безпеки. Вона надає читачам корисний огляд різних аспектів та аспектів використання автоматизованих сканерів вразливостей до SQL-ін'єкцій у веб-додатках.
Ключові слова: SQL-ін'єкція, Web-ресурс, вразливість, сканер вразливостей, Web-додаток, кібербезпека.
Перелік посилань
1. P. Kumar and R. K. Pateriya, "A survey on SQL injection attacks, detection and prevention techniques," 2012 Third International Conference on Computing, Communication and Networking Technologies (ICCCNT'12), Coimbatore, India, 2012, pp. 1-5, doi: 10.1109/ICCCNT.2012.6396096.
2. Atefeh Tajpour, Maslin Massrum and Mohammad Zaman Heydari, "Comparison of SQL injection detection and prevention techniques," 2010 2nd International Conference on Education Technology and Computer, Shanghai, China, 2010, pp. V5-174-V5-179, doi: 10.1109/ICETC.2010.5529788.
3. P. A. Sonewar and N. A. Mhetre, "A novel approach for detection of SQL injection and cross site scripting attacks," 2015 International Conference on Pervasive Computing (ICPC), Pune, India, 2015, pp. 1-4, doi: 10.1109/PERVASIVE.2015.7087131
4. P. Kumar and R. K. Pateriya, "A survey on SQL injection attacks, detection and prevention techniques," 2012 Third International Conference on Computing, Communication and Networking Technologies (ICCCNT'12), Coimbatore, India, 2012, pp. 1-5, doi: 10.1109/ICCCNT.2012.6396096.
5. K. R. Veerabudren and G. Bekaroo, "Security in Web Applications: A Comparative Analysis of Key SQL Injection Detection Techniques," 2022 4th International Conference on Emerging Trends in Electrical, Electronic and Communications Engineering (ELECOM), Mauritius, 2022, pp. 1-6, doi: 10.1109/ELECOM54934.2022.9965264.