الأربعاء، 9 يوليو، 2014

دورة الامن المعلوماتي الدرس الرابع ثغرات SQLi-الجزء الثاني


لنكمل في نفس السياق،ثغرات حقن قواعد البيانات SQL Injection،و كما ذكرت سابقا فإنه يتوجب علينا قبل أن نفكر في فهم هذا النوع من الثغرات،أن نفهم لغة الإستعلامات البنيوية SQL ﻷنه و بدونا سيصعب علينا إستغلال و ترقيع هذه الثغرة.

هنالك أنواع من لغة SQL،فهي تتبع محرك قواعد البيانات،و لكن ما محرك قواعد البيانات:ببساطة هو البرنامج الذي يتحكم في قواعد البيانات،كيف ذلك؟ لمحرك قواعد البيانات شروط من الواجب احترامها عند التعامل مع قاعدة البيانات،فمثلا قبل أن تتصل بقاعدة البيانات عليك أن تتصل أوﻻ بالخادم و هو الجهاز الذي يحوي قاعدة البيانات و هو بدوره سيعيطك التصريح اللازم للإتصال بالقاعدة و في نفس الوقت سيحدد الصلاحيات المسموحة لك،فمثلا إن كنت مستخدما عاديا،فإنك تملك مثلا حق الإضافة فقط إلى قاعدة البيانات،أما المدير فإنه يملك بالإضافة إلى الحقوق التي تملكها أنت كمستخدم عادي،فبإمكانه الحذف و التعديل من قاعدة البيانات تلك.
إذن فمهمة محرك قواعد البيانات هي التحكم في كيفية الإتصال بالقاعدة بالإضافة إلى طريقة التعامل معها.

توجد العديد من محركات قواعد البيانات بحيث تختلف من شركة منتجة لأخرى،فنجد منها ما هو مجاني بشروط مثل MySQL:فبإمكانك استخدامها في المشاريع الحرة بشكل مجاني أما إن كنت تريد مثلا بناء برنامج تجاري أو شركة استضافة مثلا فعليك شراء الترخيص المناسب لذلك من الشركة المنتجة و منها ما هو مجاني حر مثل قواعد بيانات Fire Bird فبإمكانك استخدامها في مشاريعك الحرة و التجارية على السواء بدون أن تحتاج لترخيص و منها ما هو تجاري مملوك مثل قواعد بيانات SQL Server و Oracle فهما تجاريتان بالرغم من توفر نسخة مجانية منهما إﻻ إنهما محدودتان جدا

الأكثر استخداما و انتشارا في مواقع الويب هي قواعد بيانات MySQL و Postgresql بالنسبة للخوادم التي تعمل بنظام تشغيل لينكس،أما بالنسبة للخوادم التي تعمل بنظام تشغيل ويندوز فأشهر قواعد البيانات المستخدمة هي MS SQL Server و في احيان قليلة جدا نجد Oracle.

كنصيحة فقط،قبل أن تبدؤوا في قراءة الدروس القادمة،حاولوا قراءة القليل عن لغة SQL فبدون معارف مسبقة عن اللغة سيكون أمر اكتشاف الثغرات،استغلالها و ترقيعها أمرا صعبا بعض الشيء، حينها سينطبق عليكم المثل القائل:"مثل الأطرش وسط الزفة"

0 التعليقات:

إرسال تعليق

لا تنسى ان تشارك samir soltani بتعليقك
او نشر الموظوع جزاك الله خيرا