SQL Injection ဟုလည်းလူသိများသော နောက်ဆက်တွဲထိုးဆေးသည် ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးအတွက် သိသာထင်ရှားသောအားနည်းချက်တစ်ခုဖြစ်သည်။ တိုက်ခိုက်သူသည် ဝဘ်အပလီကေးရှင်းတစ်ခု၏ ဒေတာဘေ့စ်မေးမြန်းချက်များ၏ ထည့်သွင်းမှုကို စီမံခန့်ခွဲနိုင်ကာ ၎င်းတို့ကို arbitrary SQL commands များကို လုပ်ဆောင်ခွင့်ပြုသောအခါတွင် ဖြစ်ပေါ်သည်။ ဤအားနည်းချက်သည် ဒေတာဘေ့စ်တွင် သိမ်းဆည်းထားသော အရေးကြီးသော အချက်အလက်များ၏ လျှို့ဝှက်မှု၊ ခိုင်မာမှုနှင့် ရရှိနိုင်မှုကို ဆိုးရွားစွာ ခြိမ်းခြောက်မှုဖြစ်စေသည်။
အဘယ်ကြောင့် နောက်ဆက်တွဲ ထိုးဆေးသည် သိသာထင်ရှားသော အားနည်းချက်ဖြစ်သည်ကို နားလည်ရန်၊ ဝဘ်အက်ပလီကေးရှင်းများတွင် ဒေတာဘေ့စ်များ၏ အခန်းကဏ္ဍကို ဦးစွာ နားလည်ရန် အရေးကြီးပါသည်။ ဒေတာဘေ့စ်များကို အသုံးပြုသူအထောက်အထားများ၊ ကိုယ်ရေးကိုယ်တာအချက်အလက်များနှင့် ဘဏ္ဍာရေးမှတ်တမ်းများကဲ့သို့သော ဝဘ်အပလီကေးရှင်းများအတွက် ဒေတာကို သိမ်းဆည်းခြင်းနှင့် ထုတ်ယူရန်အတွက် အများအားဖြင့် အသုံးပြုလေ့ရှိသည်။ ဒေတာဘေ့စ်နှင့် အပြန်အလှန် တုံ့ပြန်ရန်အတွက်၊ ဝဘ်အပလီကေးရှင်းများသည် မေးခွန်းများကို တည်ဆောက်ရန်နှင့် လုပ်ဆောင်ရန် Structured Query Language (SQL) ကို အသုံးပြုသည်။
နောက်ဆက်တွဲထိုးဆေးသည် ဝဘ်အပလီကေးရှင်းတွင် မလျော်ကန်သော ထည့်သွင်းမှုအတည်ပြုခြင်း သို့မဟုတ် သန့်ရှင်းရေးပြုလုပ်ခြင်း၏ အကျိုးကျေးဇူးကို ရရှိသည်။ အသုံးပြုသူမှပေးသောထည့်သွင်းမှုအား မှန်ကန်စွာအတည်ပြုခြင်း သို့မဟုတ် သန့်စင်ခြင်းမပြုပါက၊ တိုက်ခိုက်သူတစ်ဦးသည် ဒေတာဘေ့စ်မှလုပ်ဆောင်မှုကိုလုပ်ဆောင်စေသည့်မေးခွန်းထဲသို့အန္တရာယ်ရှိသော SQL ကုဒ်ကိုထည့်သွင်းနိုင်သည်။ ၎င်းသည် အထိခိုက်မခံသောဒေတာအား ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ကြည့်ရှုခြင်း၊ ဒေတာခြယ်လှယ်ခြင်း သို့မဟုတ် အရင်းခံဆာဗာ၏ လုံးဝအပေးအယူလုပ်ခြင်းအပါအဝင် အန္တရာယ်ရှိသော အကျိုးဆက်အမျိုးမျိုးကို ဖြစ်ပေါ်စေနိုင်သည်။
ဥပမာအားဖြင့်၊ အသုံးပြုသူအမည်နှင့် စကားဝှက်ကို လက်ခံသည့် အကောင့်ဝင်ပုံစံကို စဉ်းစားပါ။ ဝဘ်အပလီကေးရှင်းသည် ထည့်သွင်းမှုကို မှန်ကန်စွာအတည်ပြုခြင်း သို့မဟုတ် မသန့်ရှင်းပါက၊ တိုက်ခိုက်သူသည် SQL query ၏ ရည်ရွယ်ထားသော အပြုအမူကို ပြောင်းလဲစေမည့် အန္တရာယ်ရှိသော ထည့်သွင်းမှုကို ဖန်တီးနိုင်သည်။ တိုက်ခိုက်သူသည် အောက်ပါကဲ့သို့သော အရာများကို ထည့်သွင်းနိုင်သည်-
' OR '1'='1' --
ဤထည့်သွင်းမှုသည် SQL query ထဲသို့ ထိုးသွင်းလိုက်သောအခါ၊ query သည် စစ်မှန်ကြောင်း အမြဲတမ်းအကဲဖြတ်စေမည်ဖြစ်ပြီး၊ အထောက်အထားစိစစ်ခြင်းယန္တရားကို ထိထိရောက်ရောက်ကျော်ဖြတ်ကာ တိုက်ခိုက်သူအား စနစ်သို့ ခွင့်ပြုချက်မရှိဘဲ ဝင်ရောက်ခွင့်ပေးမည်ဖြစ်သည်။
နောက်ဆက်တွဲ ထိုးနှက်တိုက်ခိုက်မှုများသည် ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးအတွက် ပြင်းထန်သောသက်ရောက်မှုများ ရှိနိုင်သည်။ ၎င်းတို့သည် သုံးစွဲသူဒေတာ၊ ဘဏ္ဍာရေးမှတ်တမ်းများ သို့မဟုတ် ဉာဏပစ္စည်းပိုင်ဆိုင်မှုများကဲ့သို့ အရေးကြီးသောအချက်အလက်များကို ခွင့်ပြုချက်မရှိဘဲ ထုတ်ဖော်ခြင်းသို့ ဦးတည်သွားစေနိုင်သည်။ တိုက်ခိုက်သူသည် ဒေတာဘေ့စ်တွင် သိမ်းဆည်းထားသည့် ဒေတာကို ပြင်ဆင်ခြင်း သို့မဟုတ် ဖျက်ခြင်းတို့ကို ပြုလုပ်နိုင်သည့် ဒေတာ ခြယ်လှယ်မှုကိုလည်း ဖြစ်ပေါ်စေနိုင်သည်။ ထို့အပြင်၊ နောက်ဆက်တွဲထိုးဆေးကို အခွင့်ထူးတိုးမြင့်စေခြင်း၊ အဝေးကုဒ်လုပ်ဆောင်ခြင်း သို့မဟုတ် အရင်းခံဆာဗာ၏ လုံးဝအပေးအယူလုပ်ခြင်းကဲ့သို့သော နောက်ထပ်တိုက်ခိုက်မှုများအတွက် ခြေရာခံအဖြစ်အသုံးပြုနိုင်ပါသည်။
နောက်ဆက်တွဲ ဆေးထိုးခြင်းဆိုင်ရာ အားနည်းချက်များကို လျော့ပါးစေရန်၊ မှန်ကန်သော ထည့်သွင်းမှု တရားဝင်ကြောင်းနှင့် သန့်စင်ရေးနည်းပညာများကို အကောင်အထည်ဖော်ရန် အရေးကြီးပါသည်။ ၎င်းတွင် SQL ကုဒ်ကို အသုံးပြုသူမှ ပံ့ပိုးပေးသော ထည့်သွင်းမှုမှ ခွဲထုတ်သည့် ကန့်သတ်ချက်ဆိုင်ရာ မေးခွန်းများ သို့မဟုတ် ပြင်ဆင်ထားသော ထုတ်ပြန်ချက်များအား အသုံးပြုခြင်းတို့ ပါဝင်သည်။ ထို့အပြင်၊ မျှော်လင့်ထားသည့်နှင့် မှန်ကန်သောထည့်သွင်းမှုများကိုသာ လုပ်ဆောင်ကြောင်း သေချာစေရန်အတွက် ထည့်သွင်းမှုအတည်ပြုခြင်းနှင့် သန့်ရှင်းရေးပြုလုပ်ခြင်းတို့ကို ဆာဗာဘက်ခြမ်းတွင် လုပ်ဆောင်သင့်သည်။
နောက်ဆက်တွဲ ထိုးဆေးသည် လျှို့ဝှက်ထားမှု၊ ခိုင်မာမှုနှင့် အရေးကြီးသော အချက်အလက်များ၏ ရရှိနိုင်မှုကို အပေးအယူလုပ်ရန် အလားအလာကြောင့် ဝဘ်အက်ပလီကေးရှင်းလုံခြုံရေးတွင် သိသာထင်ရှားသော အားနည်းချက်တစ်ခုဖြစ်သည်။ ၎င်းသည် တိုက်ခိုက်သူများအား ဒေတာဘေ့စ်ပေါ်တွင် မတရားသောအမိန့်ပေးမှုများကို လုပ်ဆောင်နိုင်စေမည့် အန္တရာယ်ရှိသော SQL ကုဒ်ကို ထိုးသွင်းရန်အတွက် မလျော်ကန်သော ထည့်သွင်းမှုအတည်ပြုခြင်း သို့မဟုတ် သန့်ရှင်းရေးပြုလုပ်ခြင်းကို အသုံးချသည်။ ဤအားနည်းချက်ကို လျော့ပါးသက်သာစေရန်နှင့် ဝဘ်အပလီကေးရှင်းများကို နောက်ဆက်တွဲ ထိုးနှက်တိုက်ခိုက်မှုများမှ ကာကွယ်ရန် သင့်လျော်သော ထည့်သွင်းမှုအတည်ပြုခြင်းနှင့် သန့်စင်ရေးနည်းပညာများကို အကောင်အထည်ဖော်ခြင်းသည် မရှိမဖြစ်လိုအပ်ပါသည်။
အခြား လတ်တလောမေးခွန်းများနှင့် အဖြေများ EITC/IS/WASF ဝဘ်အက်ပလီကေးရှင်းများ လုံခြုံရေးအခြေခံအချက်များ:
- ထုတ်ယူမှု မက်တာဒေတာ တောင်းခံမှု ခေါင်းစီးများ သည် အဘယ်နည်း နှင့် တူညီသော မူရင်း နှင့် ဆိုက် ဖြတ်ကျော် တောင်းဆိုမှု များ အကြား ခွဲခြားရန် ၎င်းတို့ ကို မည်သို့ အသုံးပြု နိုင် မည်နည်း။
- ယုံကြည်ရသောအမျိုးအစားများသည် ဝဘ်အပလီကေးရှင်းများ၏ တိုက်ခိုက်မှုမျက်နှာပြင်ကို မည်သို့လျှော့ချပြီး လုံခြုံရေးသုံးသပ်ချက်များကို ရိုးရှင်းလွယ်ကူစေသနည်း။
- ယုံကြည်ရသောအမျိုးအစားများတွင် မူရင်းမူဝါဒ၏ ရည်ရွယ်ချက်မှာ အဘယ်နည်း၊ လုံခြုံမှုမရှိသော စာကြောင်းတာဝန်များကို ခွဲခြားသတ်မှတ်ရန် ၎င်းကို မည်သို့အသုံးပြုရမည်နည်း။
- ယုံကြည်ရသောအမျိုးအစားများ API ကိုအသုံးပြု၍ ယုံကြည်ရသောအမျိုးအစားများဖန်တီးရန်လုပ်ငန်းစဉ်သည်အဘယ်နည်း။
- အကြောင်းအရာလုံခြုံရေးမူဝါဒတွင် ယုံကြည်ရသောအမျိုးအစားများသည် DOM-based cross-site scripting (XSS) အားနည်းချက်များကို မည်သို့လျော့ပါးစေသနည်း။
- ယုံကြည်ရသောအမျိုးအစားများကား အဘယ်နည်း၊ ၎င်းတို့သည် ဝဘ်အက်ပလီကေးရှင်းများတွင် DOM-based XSS အားနည်းချက်များကို မည်သို့ဖြေရှင်းကြသနည်း။
- အကြောင်းအရာလုံခြုံရေးမူဝါဒ (CSP) သည် cross-site scripting (XSS) အားနည်းချက်များကို မည်သို့လျော့ပါးစေသနည်း။
- Cross-site Request Forgery (CSRF) ဆိုတာ ဘာလဲ၊ တိုက်ခိုက်သူတွေက ဘယ်လို အသုံးချနိုင်မလဲ။
- ဝဘ်အက်ပလီကေးရှင်းရှိ XSS အားနည်းချက်သည် သုံးစွဲသူဒေတာကို မည်သို့ထိခိုက်စေသနည်း။
- ဝဘ်အက်ပလီကေးရှင်းများတွင် တွေ့ရလေ့ရှိသော အားနည်းချက်နှစ်ခုသည် အဘယ်နည်း။