Graduate papers
  
Description of the graduate paper
Form of studies Bachelor
Title of the study programm Information Technology
Title in original language SQL injekciju uzbrukuma veidu izpēte un drošības pasākumi to novēršanai
Title in English Research on SQL Injection Attack Types and Prevention Security Measures
Author Artūrs Kanders
Department 12100 Institute of Information Technology
Scientific advisor Mg. sc. ing. Vitālijs Boļšakovs
Reviewer Dr. sc. ing. Jurijs Korņijenko
Abstract SQL injekcijas ir viens no postošākajiem uzbrukumiem, kas var ietekmēt daudzu uzņēmumu biznesu, jo ar tās palīdzību ir iespējams izgūt no ievainojamās lietotnes datubāzes sensitīvus datus vai pat veikt izmaiņas šajā datubāzē. Pēc OWASP (Open Web Application Security Project) datiem injekciju uzbrukumi (tai skaitā SQL injekcijas) vēl projām ieņem pirmo vietu 10 sastopamāko un bīstamāko tīmekļa uzbrukumu sarakstā. Tas arī ir iemesls, kādēļ aizsardzība pret šādiem uzbrukumiem ir tik aktuāla. Bakalaura darba mērķis ir izpētīt SQL injekciju uzbrukuma veidus un analizēt iespējamos drošības pasākumus to novēršanai. Lai sasniegtu doto mērķi tika izpētīta informācija par SQL injekcijām, to uzbrukuma veidiem; atrastas un definētas iespējamās SQL injekciju ievades vietas; apskatītas zināmas aizsardzības metodes pret SQL injekcijām; izstrādāta tīmekļa vietne un veikta tās testēšana uz SQL injekciju uzbrukumu drošumu; pielietoti drošības pasākumi un izlabotas ievainojamās vietas; apkopoti rezultāti un izdarīti secinājumi. Praktiskās daļas ietvaros tika izstrādāta tīmekļa vietne, kas balstījās uz MySQL datubāzes un tika programmēta PHP valodā. Lai pārbaudītu lietojuma drošību pret SQL injekcijām, tika veikti gan manuāli testi, gan izmantots automātiskās testēšanas rīks SQLMap. Dotās tīmekļa vietnes gadījumā kā aizsardzības metodes tika izmantoti sagatavotie vaicājumi, datu validācijas funkcijas un datubāzes lietotāja izpildes privilēģiju ierobežošana. Pēc tīmekļa izstrādes un drošības testiem tika secināts, ka MySQL datubāzē veiktie SQL injekciju uzbrukumi var radīt tikpat graujošu efektu, kā datubāzē Microsoft SQL, kura bieži tiek uzskatīta par vieglāk ievainojamu datubāzu vadības sistēmu, jo saturot daudzas glabātās procedūras, kas spēj izpildīt operētājsistēmas komandas. Darba apjoms - 72 lpp., 2 tabulas, 69 attēli un 8 pielikumi.
Keywords SQL injekciju uzbrukumi, Tīmekļa vietņu ievainojamības, Drošības pasākumi
Keywords in English SQL injection attacks, Web application vulnerabilities, Security measures
Language lv
Year 2014
Date and time of uploading 09.06.2014 10:41:47