বিভিন্ন ধরনের ওয়েব অ্যাপ্লিকেশন ব্যাকএন্ড কার্যকারিতার বিধানের জন্য ডাটাবেস সিস্টেম নিয়োগ করে। ডাটাবেস সিস্টেম অনুসন্ধান, পরিচালনা এবং পরিচালনার জন্য ব্যবহৃত একটি বহুল ব্যবহৃত ভাষা হল স্ট্রাকচার্ড কোয়েরি ল্যাঙ্গুয়েজ (SQL)। বিশ্বব্যাপী ওয়েব অ্যাপ্লিকেশনগুলিতে এর ব্যাপক ব্যবহারের কারণে, এসকিউএল-চালিত ডাটাবেসগুলি সাইবার-অপরাধী ক্রিয়াকলাপের জন্য সহজ এবং ঘন ঘন লক্ষ্যবস্তু, যার তীব্রতা শুধুমাত্র লক্ষ্য করা প্রতিটি সিস্টেমের জটিলতার উপর নির্ভর করে।

SQL ইনজেকশন আক্রমণ ব্যাখ্যা করা হয়েছে

একটি এসকিউএল ইনজেকশন অ্যাটাক হল সবচেয়ে ঘন ঘন ঘটতে থাকা ওয়েব হ্যাকগুলির মধ্যে একটি যা বর্তমানে প্রচলিত, যেখানে একজন আক্রমণকারী SQL স্টেটমেন্টে একটি দূষিত কোড সন্নিবেশ করার জন্য ওয়েব পৃষ্ঠার ইনপুট ব্যবহার করে। এটি সাধারণত ঘটে যখন একটি ওয়েব পৃষ্ঠা ব্যবহারকারীর নাম/ব্যবহারকারীর মতো ব্যবহারকারীর ইনপুট জিজ্ঞাসা করে। আক্রমণকারী একটি SQL স্টেটমেন্ট সন্নিবেশ করার এই সুযোগটি ব্যবহার করে যা আপনার অজান্তেই আপনার ডাটাবেসে চলে।

একটি SQL ইনজেকশন অ্যাটাক ওয়ার্কফ্লো

এই ধরনের আক্রমণের প্রভাবগুলি শুধুমাত্র ওয়েব অ্যাপ্লিকেশনের উপর নির্ভর করতে পারে এবং এটি কিভাবে একটি SQL স্টেটমেন্ট তৈরি করার আগে আক্রমণকারীর সরবরাহকৃত ডেটা প্রক্রিয়া করে। সম্ভাব্য নিরাপত্তা প্রসারণ প্রমাণীকরণ বাইপাস থেকে তথ্য প্রকাশ থেকে অন্য অ্যাপ্লিকেশন ব্যবহারকারীদের কাছে দূষিত কোড প্রসারিত করা পর্যন্ত পরিবর্তিত হয়। এসকিউএল (স্ট্রাকচার্ড কোয়েরি ল্যাঙ্গুয়েজ) ডাটাবেস ওয়ার্ডপ্রেস, পিএইচপি, জুমলা ইত্যাদির মতো বিভিন্ন ওয়েব প্ল্যাটফর্ম দ্বারা সমর্থিত হওয়ার কারণে ঝুঁকির কারণটি বিপুল সংখ্যক ওয়েবসাইটগুলিতে প্রসারিত।

একটি সফল SQL আক্রমণের প্রসারণ

একটি এসকিউএল ইনজেকশন একটি উচ্চ তীব্রতা দুর্বলতা হিসাবে বিবেচিত হয়। যে পরিমাণ ক্ষতি হতে পারে তা শুধুমাত্র আক্রমণকারীর দক্ষতা এবং কল্পনার উপর ছেড়ে দেওয়া যেতে পারে এবং এই ধরনের আক্রমণের জন্য ডাটাবেস সার্ভারের সাথে কম সুবিধার সংযোগের মতো পাল্টা ব্যবস্থার অস্তিত্ব।

একবার আপস করা হলে, সংবেদনশীল তথ্যের একটি ভাণ্ডার যা একবার ডাটাবেস দ্বারা লুকিয়ে রাখা হয়েছিল এখন আক্রমণকারীর করুণায় পরিণত হয়। ফলস্বরূপ, আক্রমণকারী এখন ডাটাবেস থেকে সংবেদনশীল তথ্য চুরি করতে পারে, ডাটাবেসের উপর প্রশাসনিক ক্রিয়াকলাপ চালাতে পারে (যেমন DBMS বন্ধ করতে পারে), DBMS ফাইল সিস্টেমে উপস্থিত একটি প্রদত্ত ফাইলের বিষয়বস্তু পুনরুদ্ধার করতে পারে এবং কিছু ক্ষেত্রে অপারেটিং সিস্টেমের নিয়ন্ত্রণ অর্জন করতে পারে। .

সাধারণত, একবার SQL ইনজেকশন হলে নিম্নলিখিত ধরনের আক্রমণ সম্ভব হয়:

1. আক্রমণকারী কোনো প্রয়োজনীয় শংসাপত্র সরবরাহ না করেই, সম্ভাব্য প্রশাসনিক সুযোগ-সুবিধা সহ অ্যাপ্লিকেশনে লগ-ইন করার জন্য প্রমাণীকরণকে বাইপাস করতে পারে।
2. আক্রমণকারীরা ডাটাবেসের বিষয়বস্তু পরিবর্তন করে, একটি ওয়েব পৃষ্ঠাকে বিকৃত করে বা অন্যান্য নিরীহ ওয়েবসাইটের মধ্যে দূষিত সামগ্রী সন্নিবেশ করে ডেটা অখণ্ডতা তৈরি করতে পারে
3. আক্রমণকারী ডাটাবেসের লগ বা অডিট তথ্য মুছে দিয়ে ডেটার প্রাপ্যতার সাথে আপস করতে পারে
4. আক্রমণকারী ডাটাবেসের মাধ্যমে কমান্ড এক্সিকিউশনের মাধ্যমে হোস্ট অপারেটিং সিস্টেমের ক্রিয়াকলাপকে বিপদে ফেলতে পারে

এসকিউএল ইনজেকশন আক্রমণ থেকে আপনার সাইটকে সুরক্ষিত করা

যদিও একটি SQL ইনজেকশন আক্রমণ বিশ্বব্যাপী ওয়েব অ্যাপ্লিকেশনগুলিকে প্রভাবিত করে এমন সবচেয়ে সাধারণ অ্যাপ্লিকেশন স্তর আক্রমণগুলির মধ্যে একটি, আপনার কোডে এসকিউএল ইনজেকশনের দুর্বলতাগুলি এড়ানো অত্যন্ত সহজ৷

প্রাথমিক পন্থা হল ব্যবহারকারীর সরবরাহকৃত ডেটা যাচাই করা, যা হোয়াইটলিস্টিং বা ব্ল্যাকলিস্টিং দ্বারা করা যেতে পারে। তাছাড়া, এসকিউএল আক্রমণের বিরুদ্ধে আপনার সাইটকে রক্ষা করার আরেকটি পদ্ধতি হল এসকিউএল স্টেটমেন্ট তৈরি করা যাতে ব্যবহারকারীর ইনপুট কোনো প্রকার SQL কমান্ডের অর্থ যুক্তিকে পরিবর্তন করতে পারে না।

1. ইনপুট বৈধতা

ইনপুট বৈধতা একটি SQL ইনজেকশনের বিরুদ্ধে রক্ষা করার জন্য দুটি পদ্ধতির ব্যবহারকে অন্তর্ভুক্ত করে:ব্ল্যাকলিস্টিং এবং হোয়াইটলিস্টিং . ব্ল্যাকলিস্টিং ব্যবহারকারীর ইনপুট থেকে পরিচিত দূষিত অক্ষর অপসারণ বা প্রতিস্থাপন জড়িত। যদিও এই পদ্ধতিটি ব্যাপকভাবে ব্যবহৃত হয়, তবে এটি হোয়াইটলিস্টিংয়ের মতো কার্যকর নয়। একজন আক্রমণকারী ফিল্টারকে ফাঁকি দিতে পারে এবং দূষিত SQL স্টেটমেন্ট ইনজেক্ট করতে পারে। অন্যদিকে, হোয়াইটলিস্টিং ক্ষতিকারক সামগ্রীর জন্য ব্যবহারকারীর ইনপুটের প্রতিটি অক্ষর পরীক্ষা করে এবং শুধুমাত্র অনুমোদিত তালিকার সাথে সামঞ্জস্যপূর্ণ সমস্ত অক্ষর ধারণকারী ইনপুটগুলিকে অনুমতি দেয়৷

2. সুরক্ষিত SQL স্টেটমেন্ট

কঠোর ইনপুট যাচাইকরণের পাশাপাশি, ASP.NET-এ প্যারামিটারাইজড কোয়েরি, জাভাতে প্রস্তুত বিবৃতি, বা ওয়েব অ্যাপ্লিকেশন তৈরির অন্যান্য ভাষায় অনুরূপ কৌশল নিয়োগ করা অপরিহার্য। এসকিউএল স্টেটমেন্টকে এইভাবে মজবুত করা হলে এসকিউএল স্টেটমেন্ট অন্তর্নিহিত ডাটাবেস সিস্টেমে পাঠানোর আগে বিপজ্জনক অক্ষর থেকে পালানো নিশ্চিত হবে।

3. রুটিন অডিট

যেকোনো সম্ভাব্য SQLi দুর্বলতার জন্য স্ট্যাটিক এবং ডাইনামিক উভয় পরীক্ষা ব্যবহার করে নিয়মিতভাবে আপনার অ্যাপ্লিকেশন পরীক্ষা করুন।

কিভাবে অ্যাস্ট্রা আপনাকে এসকিউএল ইনজেকশন থেকে রক্ষা করতে পারে

এসকিউএল ইনজেকশন সহ সাধারণভাবে ঘটতে থাকা ওয়েব অ্যাপ্লিকেশন ত্রুটিগুলির বিরুদ্ধে প্রশমিত করতে অ্যাস্ট্রার ওয়েব অ্যাপ্লিকেশন ফায়ারওয়াল রিয়েল টাইমে স্ক্যান করে। এটি ক্লাউড-ভিত্তিক নিরাপত্তা প্ল্যাটফর্ম আপনাকে আপনার অ্যাপ্লিকেশন সুরক্ষা প্রোগ্রাম পরিচালনা করতে, অনায়াসে অগ্রগতি ট্র্যাক করতে এবং ই-লার্নিং সামগ্রীর মাধ্যমে এসকিউএল ইনজেকশন এবং অন্যান্য নিরাপত্তা ত্রুটিগুলি এড়ানো এবং মেরামত করার বিষয়ে আপনার কোম্পানির কর্মীদের শিক্ষিত করতে সক্ষম করে৷