Injection Attacks. Protocol Host FilePath. http://www.site.gr/index.html? field1=valuex&field2=valuey. Query String. Web server HTTP GET.



Σχετικά έγγραφα
Injection Attacks. Protocol Host FilePath. field1=valuex&field2=valuey. Query String. Web server HTTP GET.

Η αξρή ζύλδεζεο Client-Server

Βάσεις Δεδομέμωμ. Εξγαζηήξην V. Τκήκα Πιεξνθνξηθήο ΑΠΘ

ΒΗΜΑ 2. Εηζάγεηε ηνλ Κωδηθό Πξόζβαζεο πνπ ιακβάλεηε κε SMS & δειώλεηε επηζπκεηό Όλνκα Πξόζβαζεο (Username) θαη ην ζαο

Βασικές Έννοιες Web Εφαρμογών

Κευάλαιο 8 Μονοπωλιακή Συμπεριφορά- Πολλαπλή Τιμολόγηση

ΑΛΛΑΓΗ ΟΝΟΜΑΣΟ ΚΑΙ ΟΜΑΔΑ ΕΡΓΑΙΑ, ΚΟΙΝΟΥΡΗΣΟΙ ΦΑΚΕΛΟΙ ΚΑΙ ΕΚΣΤΠΩΣΕ ΣΑ WINDOWS XP

Εγκατάσταση του πακέτου XAMPP. Β Τεχνική Σχολή Λεμεςοφ Σχολική χρονιά Άριςτοσ Παςιάσ

TOOLBOOK (μάθημα 2) Δεκηνπξγία βηβιίνπ θαη ζειίδσλ ΠΡΟΑΡΜΟΓΗ: ΒΑΛΚΑΝΙΩΣΗ ΔΗΜ. ΕΚΠΑΙΔΕΤΣΙΚΟ ΠΕ19 1 TOOLBOOK ΜΑΘΗΜΑ 2

Τεχνολογίες Διαδικτύου. Server Side Scripting I PHP

Εφαρµογές διαδικτύου µε PHP

Ειςαγωγή ςτην καταςκευή ιςτοςελίδων και ηλ. καταςτημάτων.

5 η Δργαζηηριακή Άζκηζη Κσκλώμαηα Γσαδικού Αθροιζηή/Αθαιρέηη

ΟΣΑ Επηρεηξεζηαθή Ννεκνζύλε. Ελόηεηα: Ad1.2.2 «Ση θξύβεηαη» πίζω από κηα Επηρεηξεζηαθή Αλαθνξά (report): XML & XSD γηα αξράξηνπο

Hellas online Προεπιλεγμένες ρσθμίσεις για FritzBox Fon WLAN 7140 (Annex B) FritzBox Fon WLAN Annex B ( )

ΡΤΘΜΙΕΙ ΔΙΚΣΤΟΤ ΣΑ WINDOWS

H ΜΑΓΕΙΑ ΤΩΝ ΑΡΙΘΜΩΝ

ΣΕΙ Δυτικήσ Μακεδονίασ, Παράρτημα Καςτοριάσ Τμήμα Πληροφορικήσ και Τεχνολογίασ Υπολογιςτών

1 Είζοδορ ζηο Σύζηημα ΣΔΕΔ ή BPMS

Ζαχαρίας Μ. Κοντοπόδης Εργαστήριο Λειτουργικών Συστημάτων ΙΙ

Αιγόξηζκνη Γνκή επηινγήο. Πνιιαπιή Δπηινγή Δκθωιεπκέλεο Δπηινγέο. Δηζαγωγή ζηηο Αξρέο ηεο Δπηζηήκεο ηωλ Η/Υ. introcsprinciples.wordpress.

Web and HTTP. Βασικά Συστατικά: Web Server Web Browser HTTP Protocol

Web Programming for Dummies

Π ΤΥ Χ ΙΑ Κ Η ΕΡΓΑΣΙΑ

Δπηιέγνληαο ην «Πξνεπηινγή» θάζε θνξά πνπ ζα ζπλδέεζηε ζηελ εθαξκνγή ζα βξίζθεζηε ζηε λέα ρξήζε.

Μετάφραση: Καζακώνης Αναστάσιος ΙΟΥΝΙΟΣ 2005

Απνηειέζκαηα Εξσηεκαηνινγίνπ 2o ηεηξάκελν

Να ζρεδηάζεηο ηξόπνπο ζύλδεζεο κηαο κπαηαξίαο θαη ελόο ιακπηήξα ώζηε ν ιακπηήξαο λα θσηνβνιεί.

ΓΗΑΓΩΝΗΣΜΑ ΣΤΑ ΜΑΘΖΜΑΤΗΚΑ. Ύλη: Μιγαδικοί-Σσναρηήζεις-Παράγωγοι Θεη.-Τετν. Καη Εήηημα 1 ο :

ύζηεκα Ωξνκέηξεζεο Πξνζσπηθνύ (Έθδνζε 2) ΤΠΗΡΕΙΑ ΠΛΗΡΟΦΟΡΙΚΩΝ ΤΣΗΜΑΣΩΝ

Τν Πξόγξακκα ζα αλαθνηλσζεί, ακέζσο κεηά ηηο γηνξηέο ηνπ Πάζρα.

ΣΕΙ ΙΟΝΙΩΝ ΝΗΩΝ ΣΜΗΜΑ: ΣΕΥΝΟΛΟΓΙΑ ΠΛΗΡΟΦΟΡΙΚΗ ΚΑΙ ΣΗΛΕΠΙΚΟΙΝΩΝΙΩΝ ΥΕΙΜΕΡΙΝΟ ΕΞΑΜΗΝΟ Ρέππα Μαξγαξίηα

Α.Τ.Ε.Ι. ΚΑΒΑΛΑΣ ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ

MySQL Εργαστήριο #5 Ενεργοποιητές (συνέχεια)

ΦΥΛΛΟ ΕΡΓΑΣΙΑΣ. Οξηδόληηα θαη θαηαθόξπθε κεηαηόπηζε παξαβνιήο

Τεχνολογίες Ανάπτυξης Εφαρμογών στο WEB

ΚΔΦ. 2.4 ΡΗΕΔ ΠΡΑΓΜΑΣΗΚΩΝ ΑΡΗΘΜΩΝ

Άζκηζη ζτέζης κόζηοσς-τρόνοσ (Cost Time trade off) Καηαζκεσαζηική ΑΔ

Α Ο Κ Η Α Μ Α Ζ Η Η Ρ Η ( S E A R C H )

Άσκηση 1 - Μοπυοποίηση Κειμένου

Παιχνίδι γλωζζικής καηανόηζης με ζχήμαηα!

ΠΑΙΔΙ INTERNET ΚΑΙ. Όλα όσα πρέπει να γνωρίζουμε για μια δημιουργική και ασφαλή χρήση του διαδικτύου ΜΑΚΗΣ ΠΑΠΑΓΕΩΡΓΙΟΥ

Φορολογική Βιβλιοθήκη. Θανάσης Φώτης Προγραμματιστής Εφαρμογών

Application Security. Dimitris Mitropoulos

ΚΕΦ. 2.3 ΑΠΟΛΤΣΗ ΣΘΜΗ ΠΡΑΓΜΑΣΘΚΟΤ ΑΡΘΘΜΟΤ

Αζθήζεηο 5 νπ θεθαιαίνπ Crash course Step by step training. Dipl.Biol.cand.med. Stylianos Kalaitzis

ΑΝΤΗΛΙΑΚΑ. Η Μηκή ζθέθηεθε έλαλ ηξόπν, γηα λα ζπγθξίλεη κεξηθά δηαθνξεηηθά αληειηαθά πξντόληα. Απηή θαη ν Νηίλνο ζπλέιεμαλ ηα αθόινπζα πιηθά:

B-Δέλδξα. Τα B-δέλδξα ρξεζηκνπνηνύληαη γηα ηε αλαπαξάζηαζε πνιύ κεγάισλ ιεμηθώλ πνπ είλαη απνζεθεπκέλα ζην δίζθν.

α) ηε κεηαηόπηζε x όηαλ ην ζώκα έρεη κέγηζην ξπζκό κεηαβνιήο ζέζεο δ) ην κέγηζην ξπζκό κεηαβνιήο ηεο ηαρύηεηαο

ΑΠΛΟΠΟΙΗΗ ΛΟΓΙΚΩΝ ΤΝΑΡΣΗΕΩΝ ΜΕ ΠΙΝΑΚΕ KARNAUGH

Άμεσοι Αλγόριθμοι: Προσπέλαση Λίστας (list access)

Φςζική Πποζαναηολιζμού Γ Λςκείος. Αζκήζειρ Ταλανηώζειρ 1 ο Φςλλάδιο

MySQL Εργαστήριο #3 Structured Query Language - SQL

, Evaluation of a library against injection attacks

ΠΡΟΣΟΧΗ: Οι απαντήσεις πολλαπλής επιλογής µόνο πάνω στο ΦΥΛΛΟ ΑΠΑΝΤΗΣΕΩΝ

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΣΙΚΗ ΚΤΣΑΛΟΓΡΟΜΙΑ 2007 ΓΙΑ ΣΟ ΓΤΜΝΑΙΟ Παπασκευή 26 Ιανουαπίου 2007 Σάξη: Α Γυμνασίου ΥΟΛΕΙΟ..

ΕΝΤΟΛΕΣ WINDOWS ΚΑΙ UNIX

Έλαο πίνακας σσμβόλων ππνζηεξίδεη δύν βαζηθέο ιεηηνπξγίεο:

μ μ «μ»

"Εθαξκνγέο Δηαδηθηύνπ"

ηδάζθσλ: εµήηξεο Εετλαιηπνύξ

Λευτέρης Κουμάκης ΠΟΛΥΜΕΣΙΚΕΣ ΥΠΗΡΕΣΙΕΣ ΣΤΗΝ ΥΓΕΙΑ

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΕΣΑΙΡΕΙΑ ΜΑΘΗΜΑΤΙΚΗ ΣΚΥΤΑΛΟΓΡΟΜΙΑ 2015 ΓΙΑ ΤΟ ΓΥΜΝΑΣΙΟ Τεηάπηη 28 Ιανουαπίου 2015 ΛΔΥΚΩΣΙΑ Τάξη: Α Γυμναζίου

Σύνθεζη ηαλανηώζεων. Έζησ έλα ζώκα πνπ εθηειεί ηαπηόρξνλα δύν αξκνληθέο ηαιαληώζεηο ηεο ίδηαο ζπρλόηεηαο πνπ πεξηγξάθνληαη από ηηο παξαθάησ εμηζώζεηο:

Ενδεικτικά Θέματα Στατιστικής ΙΙ

f '(x)g(x)h(x) g'(x)f (x)h(x) h'(x) f (x)g(x)

ΕΓΧΕΙΡΙΔΙΟ ΕΚΔΟΗ 8.0.0

ΚΤΠΡΙΑΚΗ ΜΑΘΗΜΑΣΙΚΗ ΔΣΑΙΡΔΙΑ ΠΑΓΚΤΠΡΙΟ ΓΙΑΓΩΝΙ ΜΟ

1. Οδηγίερ εγκαηάζηαζηρ και σπήζηρ έξςπνυν καπηών και τηθιακών πιζηοποιηηικών με σπήζη ηος λογιζμικού Μοzilla Thunderbird

Α. Εηζαγσγή ηεο έλλνηαο ηεο ηξηγσλνκεηξηθήο εμίζσζεο κε αξρηθό παξάδεηγκα ηελ εκx = 2

ΤΕΙ ΚΑΒΑΛΑΣ Σχολή Τεχνολογικών Εφαρμογών Τμήμα Βιομηχανικής Πληροφορικής

ΘΔΚΑ ΡΖΠ ΑΛΑΓΛΩΟΗΠΖΠ

Δρ. Δημήτριος Α. Κουτσομητρόπουλος. Τμήμα Επιχειρηματικού Σχεδιασμού και Πληροφοριακών Συστημάτων Α.Τ.Ε.Ι. Πάτρας

ΗΛΕΚΤΡΟΝΙΚΟ ΚΑΤΑΣΤΗΜΑ

x x x x tan(2 x) x 2 2x x 1

Εισαγωγή στην Ανάπτυξη Εφαρμογών Web με Χρήση της Python, του Apache και του mod_python

ΔΡΓΑΙΑ 1. Γιαδικησακά πληροθοριακά σζηήμαηα. Ομάδα Δργαζίας: Μεηαπηστιακοί Φοιηηηές. ηέθανος Κονηοβάς ΑΔΜ :283. Πάζτος Βαζίλειος ΑΔΜ :288

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 8 η Διάλεξη: Προγραμματισμός στην πλευρά του εξυπηρετητή: Τεχνολογία Java Server Pages (JSP)

iii. iv. γηα ηελ νπνία ηζρύνπλ: f (1) 2 θαη

Τεχνικός Εφαρμογών Πληροφορικής

Διατείριση Φσσικών Καταστρουών: ACTIVE LANDSLIDE INVENTORY MAPPING AND SUSCEPTIBILITY ZONING

ΔΙΑΓΩΝΙΣΜΑ ΣΤΗ ΦΥΣΙΚΗ. Ύλη: Εσθύγραμμη Κίνηζη

ΔΝΓΔΙΚΣΙΚΔ ΛΤΔΙ ΣΑ ΜΑΘΗΜΑΣΙΚΑ ΠΡΟΑΝΑΣΟΛΙΜΟΤ 2017

Διαηιμήζεις για Αιολικά Πάρκα. Κώδικες 28, 78 και 84

Case Study. Παξαθάηω παξνπζηάδνπκε βήκα - βήκα κε screenshots έλα παξάδεηγκα ππνβνιήο κηαο εξγαζίαο θαη ηελ παξαγωγή ηνπ Originality Report.

WEB SECURITY. Διαφάνειες: Δημήτρης Καρακώστας Διονύσης Ζήνδρος. Εθνικό Μετσόβιο Πολυτεχνείο Σχολή Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών

Μονοψϊνιο. Αγνξά κε ιίγνπο αγνξαζηέο. Δύναμη μονοψωνίος Η ηθαλόηεηα πνπ έρεη ν αγνξαζηήο λα επεξεάζεη ηελ ηηκή ηνπ αγαζνύ.

ΠΑΝΔΛΛΑΓΗΚΔ ΔΞΔΣΑΔΗ Γ ΣΑΞΖ ΖΜΔΡΖΗΟΤ ΓΔΝΗΚΟΤ ΛΤΚΔΗΟΤ Γευηέρα 11 Ηουνίου 2018 ΔΞΔΣΑΕΟΜΔΝΟ ΜΑΘΖΜΑ: ΜΑΘΖΜΑΣΗΚΑ ΠΡΟΑΝΑΣΟΛΗΜΟΤ. (Ενδεικηικές Απανηήζεις)

(Ενδεικηικές Απανηήζεις) ΘΔΜΑ Α. Α1. Βιέπε απόδεημε Σει. 262, ζρνιηθνύ βηβιίνπ. Α2. Βιέπε νξηζκό Σει. 141, ζρνιηθνύ βηβιίνπ

Δξγαιεία Καηαζθεπέο 1 Σάμε Δ Δ.Κ.Φ.Δ. ΥΑΝΗΩΝ ΠΡΩΣΟΒΑΘΜΗΑ ΔΚΠΑΗΓΔΤΖ. ΔΝΟΣΖΣΑ 2 ε : ΤΛΗΚΑ ΩΜΑΣΑ ΔΡΓΑΛΔΗΑ ΚΑΣΑΚΔΤΔ. Καηαζθεπή 1: Ογθνκεηξηθό δνρείν

ΦΥΣΙΚΗ ΤΩΝ ΡΕΥΣΤΩΝ. G. Mitsou

Βάσεις Δεδομέμωμ. Δξγαζηήξην Ι. Τκήκα Πιεξνθνξηθήο ΑΠΘ

Απαντήσεις θέματος 2. Παξαθάησ αθνινπζεί αλαιπηηθή επίιπζε ησλ εξσηεκάησλ.

ΕΙΣΑΓΩΓΗ ΣΤΗ ΘΕΩΡΙΑ ΣΗΜΑΤΩΝ & ΣΥΣΤΗΜΑΤΩΝ. ΜΕΤΑΣΦΗΜΑΤΙΣΜΟΣ Laplace

ΣΕΙ Δυτικήσ Μακεδονίασ, Παράρτημα Καςτοριάσ Τμήμα Πληροφορικήσ και Τεχνολογίασ Υπολογιςτών

SOAP API. Table of Contents

Οδηγίες τρήζης για λειηοσργία μεηαθοράς καναλιών ζε υηθιακό δέκηη OST-7060 HD

Αζκήζεις ζτ.βιβλίοσ ζελίδας 13 14

7. ΚΑΤΑΧΩΡΗΤΕΣ ΕΡΩΤΗΣΕΙΣ ΑΣΚΗΣΕΙΣ. 3. Έλαο θαηαρσξεηήο SISO ησλ 4 bits έρεη: α) Μία είζνδν, β) Δύν εηζόδνπο, γ) Σέζζεξεηο εηζόδνπο.

ΠΔΡΗΓΡΑΦΖ ΛΔΗΣΟΤΡΓΗΚΟΣΖΣΑ ΥΔΓΗΟΤ ΑΡΗΘΜ. 1

Transcript:

Πσο γίλεηαη ε πξόζβαζε ζήκεξα; Τν user input πεξλάεη από έλα server-side script κέζσ HTTP methods όπσο POST/GET Τν αίηεκα επεμεξγάδεηαη Αλάινγα αλνίγεη πξόζβαζε ζηε βάζε Query database θαη αλάθηεζε results Απνζηνιή results ζην ρξήζηε Uniform Resource Locator Protocol Host FilePath http://www.site.gr/index.html? field1=valuex&field2=valuey Client HTML file HTTP GET HTTP file Application server HTML Web server Query String DB server HTML HTML HTML Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-1

Πσο γίλεηαη ε πξόζβαζε ζήκεξα; HyperText Transfer Protocol Πξσηόθνιιν Αίηεζε από server ή απνζηνιή ζε server ησλ webpages GET: requests a resource from a server POST: submits data to the server. e.g. a form on a webpage Hypertext Markup Language HTML Tags δειώλνπλ ζηνλ browser πώο λα εκθαλίδεη πεξηερόκελν HTML Forms <form action= http://site.com/index.jsp method= GET > Email: <input type="text" name="email > <input type="submit" value="submit"> </form> http://site.com/index.jsp?email=x@y.com Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-2

Πσο γίλεηαη ε πξόζβαζε ζήκεξα; JavaScript Η JavaScript είλαη κηα γιώζζα γηα ηζηνζειίδεο, πνπ ζα ηξέμεη ζηνλ θπιινκεηξεηή-πειάηε. Μπνξεί λα πξνζηεζεί ζε νπνηνδήπνηε αξρείν HTML. Όηαλ ν πειάηεο θνξηώλεη ηνλ θώδηθα HTML εθηειεί ην JavaScript Γηαηί JavaScript; Μεηαθέξεη ππνινγηζκνύο θαη εθηειέζεηο ζηνλ client Personalise web pages ζηνλ θπιινκεηξεηή-πειάηε. Form validation Παξαθνινύζεζε ησλ ρξεζηώλ: ηα cookies.. Pop-up, alerts, new windows Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-3

Πσο γίλεηαη ε πξόζβαζε ζήκεξα; JavaScript Server HTML & JS HTTP GET HTTP file Client HTML & JS JS Interpreter HTML+ JS file HTML + JS file HTML + JS file Display Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-4

Πσο γίλεηαη ε πξόζβαζε ζήκεξα; JavaServer Pages (JSP) Επηηξέπεη λα γξάθνληαη δπλακηθέο ηζηνζειίδεο κε ρξήζε Java Μπνξεί λα ελζσκαησζεί Java ζε έλα αξρείν HTML. Ο θώδηθαο Java ζα εθηειείηαη ζην δηαθνκηζηή (server) θάζε θνξά πνπ δεηείηαη κηα ζειίδα. Γηα λα εθηειεζηεί JSP ζα πξέπεη λα ρξεζηκνπνηεζεί ζπκβαηόο webserver, π.ρ. Tomcat PHP: αληίζηνηρνο role κε JSP δεκηνπξγία ζειίδσλ web κε δπλακηθό πεξηερόκελν. Μηα ζειίδα PHP πεξλά από επεμεξγαζία από έλα ζπκβαηό webserver (π.ρ. Apache) Παξάγεηαη ζε πξαγκαηηθό ρξόλν ην ηειηθό πεξηερόκελν, πνπ ζα ζηαιεί ζην client θπιινκεηξεηή ζε κνξθή θώδηθα HTML Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-5

Παξάδεηγκα Web application ζε book retailer Αλαδήηεζε ζε βηβιία κε βάζε ηνλ author, tittle, publisher, year, ISBN etc Accessed via SQL queries Τα δύν εξσηήκαηα: SELECT author, tittle, year FROM books WHERE publisher = 'Wiley' θαη SELECT author, tittle, year FROM books αποδεκηό από query interpreter WHERE publisher = 'Ο'Reilly' Μη αποδεκηό από query interpreter Incorrect Systax near 'Reilly', Line 1 Unclosed quotation mark before the character string ' Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-6

Παξάδεηγκα Τν εξώηεκα: SELECT author, tittle, year FROM books WHERE publisher = 'Wiley' OR 1=1' αποδεκηό από query interpreter όπως και ηο SELECT author, tittle, year FROM books WHERE publisher = 'Wiley' OR 'α'='α' θα επιζηραθεί η πλειάδα author, tittle, year όποσ η ζηήλη publisher έτει ηιμή Wiley ή όποσ 1 είναι ίζο με 1,δηλαδή πάνηα! Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-7

Bypassing login session Τν εξώηεκα: SELECT * FROM users WHERE username = 'marcus' AND password = 'secret' αποδεκηό από query interpreter logic: αν βρεθεί πλειάδα marcus & secret ζηη βάζη η εθαρμογή επιηρέπει ηην πρόζβαζη, διαθορεηικά ότι Τν παξαθάησ εξώηεκα παξαβηάδεη ηε ινγηθή ηεο εθαξκνγήο (επηηηζέκελνο μέξεη ην uname ηνπ admin): SELECT * FROM users WHERE username = 'admin_name' -' AND password = 'secret' αποδεκηό από query interpreter ως SELECT * FROM users WHERE username = 'admin_name' bypasses password control Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-8

Bypassing login session Τν παξαθάησ εξώηεκα παξαβηάδεη ηε ινγηθή ηεο εθαξκνγήο (o επηηηζέκελνο δελ μέξεη ην uname ηνπ admin): SELECT * FROM users WHERE username = ' ' ΟR 1 = 1 ; -' AND password = foo' αποδεκηό από query interpreter ως SELECT * FROM users WHERE username = ' ' ΟR 1=1 Επιζηρέθονηαι από query όλα ηα ζηοιτεία ηων τρηζηών Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-9

SQL injection attack http://www.forshop.gr?action=buy&product=x => SELECT * FROM products WHERE code= X ; Τη κπνξεί λα είλαη ην X? X= ; DROP TABLE products; -- => SELECT * FROM products WHERE code= ; DROP TABLE products; -- Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-10

Injecting Attacks Prevention Φηιηξάξηζκα user input Syntax control (Δηαθνξεηηθνί ηύπνη input έρνπλ κηα ζπγθεθξηκέλε γιώζζα θαη ζύληαμε όηαλ ζπλδένληαη κε δεδνκέλα, δειαδή ην όλνκα, email, θιπ) Πξνζεθηηθό Error handling Error messages απνθαιύπηνπλ πιεξνθνξία πνπ κπνξεί λα ρξεζηκνπνηεζεί από hacker/ Δελ πξέπεη λα απνθαιπθζεί sensitive information VALIDATE όιεο ηηο user entered parameters Έιεγμε data types θαη lengths θαη ηύπνπο κεηαβιεηώλ Απέηξεςε unwanted data (HTML tags, JavaScript) Απέηξεςε εηδηθνύο ραξαθηήξεο (--, semi-colon, brackets) Length limit ζην input ηα πεξηζζόηεξα attacks έρνπλ long query strings Αζθάιεηα Υπνινγηζηώλ θαη Δηθηύσλ, Τκήκα Πιεξνθνξηθήο, ΜΠΣ, Ο.Π.Α., Δξ. Ι. Μαξηάο 7-11