content/ar-ae/images/repository/isc/42-SQL.jpg

إدخال نصوص SQL عبارة عن أحد أنواع الهجمات الإلكترونية حيث يستخدم المتطفل جزءًا من التعليمات البرمجية لـ SQL (لغة الاستعلامات المركبة) للتلاعب بقاعدة البيانات والوصول إلى معلومات يحتمل أن تكون قيِّمة.

إنه أحد أنواع الهجمات الأكثر انتشارًا وتهديدًا يحيث يمكن استخدامه ضد أي تطبيق ويب أو موقع ويب يستخدم قاعدة بيانات تستند إلى SQL.

ومن بين أبرز الأمثلة عليه نذكر الهجمات الشهيرة ضد شركتي Sony Pictures وMicrosoft.

كيف يتم إدخال نصوص SQL؟

في ممارسة البرامج المعيارية، يكون استعلام SQL بشكل أساسي طلبًا مرسلاً إلى قاعدة بيانات — مستودع معلومات محوسب — لإجراء نوع من النشاط أو الوظيفة مثل الاستعلام عن البيانات أو تنفيذ تعليمات SQL البرمجية التي يجب أداؤها.

يُعدّ تقديم معلومات تسجيل الدخول عبر نموذج ويب للسماح للمستخدم بالوصول إلى موقع أحد هذه الأمثلة.

يكون هذا النوع من نماذج الويب مصمَّمًا عادة لقبول فقط أنواع محددة جدًا من البيانات مثل الاسم و/أو كلمة المرور. عندما تُضاف هذه المعلومات، يتم التحقق منها عبر مقارنتها بقاعدة بيانات، وإذا تطابقت، فيُسمح للمستخدم بالدخول. في حال حصول العكس، يتم منعه من الوصول.

تنشأ المشاكل المحتملة لأن معظم نماذج الويب ليس لديها طريقة لإيقاف إدخال أي معلومات إضافية على النماذج. قد يستغل المتطفلون نقطة الضعف هذه ويستخدمون مربعات إدخال في النموذج لإرسال طلباتهم الخاصة إلى قاعدة البيانات. قد يتيح لهم هذا الأمر إجراء العديد من الأنشطة الشائنة، بدءًا من سرقة البيانات الحساسة حتى التلاعب بالمعلومات في قاعدة البيانات لتحقيق أغراضهم الخاصة.

مشكلة متفاقمة

نظرًا إلى انتشار مواقع الويب والخوادم التي تستخدم قواعد البيانات، صار أسلوب الهجوم بإدخال نصوص SQL أحد أنواع الهجمات الإلكترونية الأقدم والأكثر انتشارًا.

لقد أدت العديد من التطورات في مجتمع المتطفلين إلى زيادة خطورة هذا النوع من الهجوم، وعلى الأخص مع ظهور برامج إدخال نصوص SQL الآلية.

إن برامج إدخال نصوص SQL الآلية، المتوفرة مجانًا من مطوري المصادر المفتوحة، تتيح للمجرمين الإلكترونيين إجراءَ الهجمات آليًا في غضون دقائق قليلة فقط عبر السماح لهم بالوصول إلى أي جدول أو عمود في قاعدة البيانات من خلال عملية النقر والهجوم.

الوقاية

توجد العديد من الطرق لمنع هذه الأنواع من الهجمات، ومنها استخدام جدار حماية تطبيق الويب، مثل جدران الحماية تلك الموجودة في العديد من حلول الأمن من Kaspersky. كذلك، يُعدّ إنشاء عدة حسابات مستخدمين في قاعدة البيانات ليتمكن فقط أفراد محددون وموثوقون من الوصول إلى قاعدة البيانات إجراءً وقائيًا آخر.

مقالات ذات صلة:

منتجات ذات صلة:

ما المقصود بإدخال نصوص SQL؟

إدخال نصوص SQL عبارة عن أحد أنواع الهجمات الإلكترونية حيث يستخدم المتطفل جزءًا من التعليمات البرمجية لـ SQL (لغة الاستعلامات المركبة) للتلاعب بقاعدة البيانات والوصول إلى معلومات يحتمل أن تكون قيِّمة.
Kaspersky Logo