Prečo nemôže brána firewall zabrániť injekčným útokom SQL?

Firewall nemôže zabrániť všetkým injekčným útokom SQL, pretože funguje na úrovni siete, kontroluje sieťový prenos na základe IP adries, portov a niekedy protokolov. Injekcia SQL je však útok na úrovni aplikácie. Brána firewall „nevidí“ škodlivý kód SQL zabudovaný do požiadavky HTTP alebo iných údajov o aplikácii.

Tu je porucha:

* obmedzenia firewall: Brány firewall skúmajú *obálku *sieťovej komunikácie, nie *obsah *. Môžu blokovať pripojenia z konkrétnych IP adries alebo na základe čísel portov (napríklad blokovanie všetkých pripojení na port 3306, predvolený port MySQL), ale ide o prístup k širokému štetcom. Sofistikovaný útočník by mohol použiť iné porty alebo metódy na obídenie týchto jednoduchých pravidiel. Nemôžu skontrolovať užitočné zaťaženie údajov o škodlivých príkazoch SQL.

* SQL Injekcia sa vyskytuje v rámci aplikácie: K útoku dochádza po tom, čo brána firewall už povolila spojenie. Útočník vstrekuje škodlivý kód SQL do webového formulára alebo iného vstupného poľa. Tento kód sa potom odovzdá na databázový server *samotnou aplikáciou *, o ktorej brána firewall nevie. Firewall nechápe kontext údajov aplikácie.

* Zmäkčenie údajov: Útočníci môžu použiť techniky na zahmlievanie injekčného kódu SQL, čo sťažuje detekciu aj pokročilých brán brány firewall. To by mohlo zahŕňať kódovanie alebo použitie neobvyklých znakov.

Stručne povedané, firewall je prvou obrannou líniou, ale nie je to strieborná guľka proti zraniteľnostiam na úrovni aplikácií, ako je injekcia SQL. Správne bezpečnostné opatrenia na úrovni aplikácie, ako sú parametrizované dotazy, validácia vstupu a výstupné kódovanie, sú rozhodujúce pre zabránenie vstrekovaniu SQL. Firewalls Web Application (WAF) môžu poskytnúť ďalšiu ochranu kontrolou prenosu aplikačného prenosu známych vzorov vstrekovania SQL, ale ani WAF nemôžu zachytiť všetky útoky.

• Predchádzajúca strana: Čo je obsluha dotazov? 
• Ďalšia strana: Čo určuje typ údajov, ktoré je možné uložiť do stĺpca v tabuľke Oracle?