Az adatbázis -engedélyek korlátozása elősegíti az SQL injekciós (SQLI) támadásokat elsősorban azáltal, hogy csökkenti a támadó által okozott lehetséges károkat, ha sikerül kiaknázni a sebezhetőséget. Ez a megközelítés a legkevesebb kiváltság elvén alapul, ami azt jelenti, hogy a felhasználóknak vagy az alkalmazási számláknak csak a feladatok elvégzéséhez szükséges minimális engedélyeket kell megadni, és nem több.
Itt található egy részletes magyarázat arról, hogy az engedélyek korlátozása hogyan segít:
** 1. Korlátozza a támadó által végrehajtott cselekvések hatókörét
Ha az adatbázishoz csatlakoztatott alkalmazás vagy felhasználói fiók csak az egyes táblákhoz való hozzáféréssel rendelkezik, akkor a támadó, aki az SQL injekciót az adott fiókon keresztül használja ki, nem tudja módosítani, törölni vagy beilleszteni az adatokat. Ez a elszigetelés korlátozza a támadás "robbantási sugara", megakadályozva az adatok korrupcióját vagy jogosulatlan változásokat [3] [9]. Például, ha a fióknak csak a Select lekérdezéseket kell futtatnia, akkor nem kell beszúrni, frissíteni, törölnie vagy adminisztratív jogosultságokat tartalmaznia.
** 2. Megakadályozza a jogosulatlan adatok hozzáférését a szükségszerűen
Az adatbázis -engedélyek csak a szükséges táblákra és műveletekre történő korlátozásával a támadók nem férhetnek hozzá érzékeny adatokhoz az alkalmazás legitim igényeinek hatályán kívül. Ez azt is jelenti, hogy ha az SQL injekció sikeres, a támadó képessége az adatok kinyerésére vagy manipulálására korlátozódik arra, hogy a kompromittált fiókhoz hozzáférhessen [1] [2] [7].
** 3. Korlátozza a veszélyes adatbázis -szolgáltatások kiaknázását
Egyes adatbázis -funkciók, például az operációs rendszer parancsok végrehajtása vagy a korlátlan tárolt eljárások futtatása, kihasználhatók, ha az engedélyek túl szélesek. Az engedélyek korlátozása letiltja vagy korlátozza az ilyen tulajdonságokhoz való hozzáférést, csökkentve a támadási felületet az SQL injekcióhoz és a kapcsolódó kizsákmányoláshoz [2] [9].
** 4. Csökkenti a kiváltságok eszkalációjának kockázatát
Ha az adatbázis -felhasználó nagy jogosultságokkal (például admin vagy DBA szerepek) fut, akkor a sikeres SQL -injekció az adatbázis teljes ellenőrzéséhez vezethet, beleértve a táblák létrehozását vagy elhagyását, vagy akár parancsok végrehajtását a szerveren. Az engedélyek korlátozása megakadályozza a támadók számára, hogy a hozzáférésükben az alkalmazáson túllépjenek, amit az alkalmazás jogosan megkövetel [1] [6] [9].
** 5. Mélyen támogatja a védekezést
Noha az engedélyek korlátozása önmagában nem akadályozza meg az SQL injekciót, ez egy kritikus védelmi réteg, amely a bemeneti validálás, a paraméterezett lekérdezések, a tárolt eljárások és a webalkalmazás tűzfalai mellett működik. Ez a rétegelt megközelítés biztosítja, hogy még ha egy kontroll meghibásodása is meghibásodik, mások segítenek a támadást [3] [7].
Összefoglalva: az adatbázis -engedélyek korlátozása csökkenti az SQL injekció potenciális hatását azáltal, hogy biztosítja, hogy a veszélyeztetett fiókok nem tudnak végrehajtani a tervezett hatókörükön kívüli káros intézkedéseket. Ez a elszigetelés segít megelőzni az adatvesztést, az jogosulatlan adatok módosítását és a kiváltsági fokozódást, így az SQL injekciós támadások kevésbé káros és könnyebben kezelhetők [1] [2] [3] [6] [9].
Idézetek:
[1] https://cheatsheetseries.owasp.org/cheatsheets/sql_injection_prevention_cheat_sheet.html
[2] https://www.esecurityplanet.com/threats/how-to-prevent-sql-inject-tacks/
[3] https://www.legitsecurity.com/aspm-knowledge-base/how-to-prevent-sql-injection
[4] https://users.soe.ucc.edu/~eaugusti/archive/365-spring16/365-files/lectures/365-lec14-security.pdf
[5] https://www.reddit.com/r/sql/comments/1c5m63s/sql_injection_prevention_help/
[6] https://security.stackexchange.com/questions/90247/sql-inject-attack-hy-not-adjust-permissions
[7] https://www.cloudflare.com/learning/security/threats/how-to-prevent-sql-injection/
[8] https://stackoverflow.com/questions/1263218/if-my-database-user-is-read-way-hy-do-need-to-bout-bout-bout-injection
[9] https://www.enterprisedb.com/blog/protecting-ainst-sql-injection