کاهش آسیب پذیری پایگاه های اطلاعاتی وب از طریق تشخیص حملات تزریق کور SQL بر اساس درخواست مشتری

طی سال های اخیر، «حملات تزریق SQL» یکی از تهدیدهای جدی برای برنامه های کاربردی وب که به نوعی پایگاه داده ای را به خدمت می گیرند، به حساب می آیند. این نوع از حملات اینترنتی، SQL ناخواسته را از طریق یک پارامتر ورودی، به پایگاه داده تزریق میکنند. راه های مختلفی برای جلوگیری از نفوذ حملات تزریق SQL به پایگاه داده معرفی شده است که همگی در سمت سرویسدهنده قابل انجام است و با کدهای کاربرد وب و یا کدهای پرسوجوی پایگاه داده سر و کار دارند. در این مقاله یک روش جدید برای جلوگیری از حملات تزریق معرفی شده است که با درخواستهایی که کاربر به سمت سرویسدهنده ارسال میکند سر و کار دارد. به این صورت که با تشخیص این که کاربر در حال ارسال یک SQL ناخواسته و تزریق آن به پایگاه داده است از ارسال آن به برنامه های کاربرد وب جلوگیری میشود. از آنجا که درخواست مشتری به سمت سرویس دهنده، در نقطه خروجی از سمت مشتری و در نقطه ورودی از سمت سرویس دهنده قابل دسترسی است، امکان پیادهسازی این روش در هر یک از این نقاط بررسی میگردد. نوع خاصی از این حملات، «حملات تزریق کور SQL» نامیده میشوند، که به دلیل کم تر کار شدن بر روی آنها، روش معرفی شده در این مقاله ویژه این نوع از حملات است.