를 보호하는 방법에 대해 예기치 않은 입력의

서핑하면 인터넷을 경우 두 종류의 웹 페이지 중 하나를 다운로드를 컴퓨터에 : 정적 또는 동적입니다. 는 정적 웹 페이지가 앉아 때까지 웹 서버에서 클라이언트 컴퓨터에 대한 요청을 전송하는 것이있습니다. 한 번 요청,이 웹 페이지는 그 다음은 클라이언트 컴퓨터에 다운로드 정확하게 만들었습니다, 여기서는 웹 브라우저를 다음보기는 페이지입니다. 는 정적 웹 페이지가 정말 아무 이상이 팜플렛이나 광고, 그리고이 허용되지 않는다의 진정한 파워는 인터넷으로 표현합니다. 그러나, 해커의 주소는 정적 페이지는 비교적 안전합니다.

반면, 동적 웹 페이지에만 존재합니다 그들이 요청하기 전에는 부분적인 상태입니다. 스크립팅 언어를 사용하는 웹 서버가 실제로 채우고있는 모든에서 누락된 부분을 만듭니다되기 전에는 웹 페이지를 고객의 컴퓨터로 전송합니다. 이 유형의 동적 웹 페이지 생성을 허용에 대한 데이터베이스를 상호 작용, 쇼핑 바구니, 그리고 사용자 정의 부분을 웹 페이지와 같은 색상, 이름, 및 서식 레이아웃입니다.

이 검색 엔진 웹 페이지, 또는 프런트 엔드를은 완벽한 예제의 동적 스크립팅을합니다. 기본 검색 엔진은 아무 이상이 작은 프로그램이 쿼리는 데이터베이스 (또는 더 구체적으로 테이블의 데이터베이스)에 대해 일치하는 정보를 기반으로 기준을했는지 부여합니다. 예를 들어, 테스트에 대한 정보를 찾기 원할 경우 도그, 애견에서 텍스트 상자에 입력하기만하면, 안타를 검색합니다.

대부분의 데이터베이스를 기반으로 구조화된 쿼리 언어 (sql)입니다. 이 언어는 주로 사용을 조작 정보를 데이터베이스에있습니다. sql을 사용하실 수있습니다 쿼리, 업데이트, 추가, 삭제 및 다른 작업 수행에 대한 데이터를 몇 짧은 줄의 코드입니다.

여기는 또 다른 일반적인 사용에 대한 데이터베이스 - 주도 웹 사이트에있습니다. 적이되고 필요로 유형의 사용자 이름이나 비밀 번호에 액세스할 수있는 웹 페이지가 있습니까? 꽤 자주, 귀하의 항목은 데이터베이스 테이블을 비교하여, 여기서 귀하의 사용자 이름과 비밀 번호가 확인되었습니다. 있을 경우 계정에 입력한 사용자 이름과 비밀 번호가 일치하면 액세스 권한이 부여됩니다.

을 설명을 해 보겠습니다에 대해 자세히 알아보겠이 과정을 다음과 같이 :

1. 사용자가 질문을 유형의 계정 정보가있습니다.

2. 사용자가 들어간 다음과 같은 :

     사용자 = 톰 패스 = tompass 

3. 입력된 정보는 웹 서버로 전송합니다.
4. an sql 쿼리가 입력한 계정 정보를 사용하여 작성 :

     "선택 * 주소 tblusers 여기서 사용자가 = '톰'과 패스 = 'tompass'" 

5. 이 데이터베이스 결과를 반환합니다.
6. 액세스 권한이 있는지 여부를 확인하는 데 사용되는 알고리즘이 허용됩니다.
7. 결과가 발견된 경우, 액세스가 활성화되어, 그리고 결과가 발견되지 않은 경우, 액세스가 제한됩니다.
8. 사용자가 하나의 웹 사이트로 전송하거나 전송 위로가 로그인 페이지입니다.

이 두려운 기술을가 질 수있습니다 무한한을 사용합니다. 그러나이 기술을 악용할 수있습니다 재치 해커가 데이터에 액세스하려면 적절한 인증을하지 않고있습니다. 예를 들어, 다음과 같은 단계를 수행하는 대신 우리의 해커를 수행 이전에 나열된 것들입니다.

1. 계정 정보가 해커는 질문을 입력합니다.

2. 가 해커로 들어 다음과 같은 :

     사용자 = '또는 '' 통과 ='또는 '' 

3. 입력된 정보는 웹 서버로 전송합니다.
4. a sql 쿼리가 입력한 계정 정보를 사용하여 작성 :

     "선택 * 주소 tblusers 여기서 사용자 = '' 또는 ''와 패스 = '' 또는 '' 

5. 이 데이터베이스 결과를 반환합니다.
6. 액세스 권한이 있는지 여부를 확인하는 데 사용되는 알고리즘이 허용됩니다.
7. 결과가 발견된 경우, 액세스가 활성화되어, 그리고 결과가 발견되지 않은 경우, 액세스가 제한됩니다.
8. 가 해커 이득에 액세스하기 때문에 데이터베이스를 모든 사용자의 목록을 반환합니다!

볼 수 있듯이, 덕분에 해커의 조작의 쿼리에있는 데이터베이스를, 그는 이제 보안 웹 사이트에 액세스할 수있습니다.

이러한 유형의 공격을 다양한 방법을 사용할 수있습니다. 해커는 삭제, 삽입, 업데이트 및보기 강탈하여 데이터를 웹 서버에 요청하는 여분의 정보가 데이터베이스에서입니다. 이 있지는 않지만 탄탄한 이해의 sql 언어로, 많은 해커 이미 알고 그것의 결과로 자신의 업무 요구 사항이있습니다.

악용 웹 양식

이전에 논의된 종류의 해킹 기법을 악용 웹 양식을 사용할 수도있습니다. 꽤 자주, 웹 - 기반 양식이 "숨겨진"필드를 포함하는 웹 서버로 전송되는 정보없이는 고객 사상 보는 것이있습니다. 이 최근의 예제는 인기있는 "장바구니"소프트웨어 프로그램이 발견된 것으로 숨겨진 필드의 항목을 포함하는 격 온라인으로 구입할 수있습니다. 해커가했던 모든 작업을 수행했다가 웹 페이지를 자신의 컴퓨터에 다운로드 및 편집의 숨겨진 격 필드를 사용하여 모든 값 싶다고합니다. 이 새로운 및 향상된 값이 그 다음에 보낸 쇼핑 카트 소프트웨어에 대한 처리를합니다. 만약이 없었 경고가 인간을 관여하게 처리하는 구매, 해커는 아무런 문제가 부정 행위가있는 온라인 상점 중 수천 달러입니다.

이들 중 일부가 인터넷에서가 장 인기있는 종류의 악성 악용합니다. 덕분에 모든 종류의 사용자 인터페이스 및 동적 콘텐츠를 인터넷, 해커들이 쉽게 찾는 구멍이있습니다. ftp 프로그램, sql 서버 프로그램, 원격 로그인 프로그램, 스크립트 언어, 심지어 html 자체가 모든되었습니다 예상치 못한 결과가 취약하여 민감한 정보를 입력하는 결과를 공개합니다. 모든 걸린다는 하나 해커는 철저한 이해의 소프트웨어 프로그램, 또는 심지어는 스크립트 별장으로 선불 - 만든 프로그램이 찾습니다 홀, 그리고 다른 호스트의 컴퓨터 시스템을 내려이 불길합니다.