এসকিউএল ইনজেকশন
From Wikipedia, the free encyclopedia
এসকিউএল ইনজেকশন একটি কোড ঢোকানোর প্রয়োগ কৌশল যেটি উপাত্ত চালিত অ্যাপ্লিকেশন আক্রমণ করতে ব্যবহৃত হয়। এই পদ্ধতিতে অসৎ উদ্দেশ্যমূলক এসকিউএল স্টেটমেন্ট/বিবৃতিসমূহ, এন্ট্রি ফিল্ডে সম্পাদন করার জন্য প্রবেশ করান হয় (উদাহরণস্বরূপ ডাটাবেসের সমস্ত তথ্য আক্রমণকারীর কাছে পাঠিয়ে দেয়)।[1] এসকিউএল ইনজেকশন একটি অ্যাপ্লিকেশন সফ্টওয়্যারের কোন একটি নিরাপত্তা ঝুঁকিকে কাজে লাগায়-উদাহরণস্বরূপ যখন:-
- ব্যবহারকারীর ইনপুট এসকিউএল স্টেটমেন্টে এমবেড করা আক্ষরিক বা বেনামী স্ট্রিং এসকেপ ক্যারেক্টারসমূহের জন্য ভুল ফিল্টার হয়।
- ব্যবহারকারীর ইনপুট একটি স্ট্রংলি টাইপ করা নয় এবং অপ্রত্যাশিতভাবে কার্যকর করা হয়েছে। স্ট্রংলি টাইপ ভাষা হল যেটি একটি ত্রুটি উৎপন্ন করতে পারে অথবা কম্পাইল করতে গ্রাহ্যকর হবে না।
বেশিরভাগ সময় এসকিউএল ইনজেকশন ওয়েবসাইটগুলির জন্য একটি আক্রমণ বাহক হিসাবে পরিচিত কিন্তু এটি এসকিউএলের যে কোন প্রকার ডাটাবেস আক্রমণ করতেও ব্যবহৃত হতে পারে।
এসকিউএল ইনজেকশন আক্রমণ, আক্রমণকারীদের পরিচয় ফাঁকি দিতে, বিদ্যমান তথ্য বিনষ্ট বা বদলাবার সুযোগ করে দিতে, অগ্রাহ্যমূলক সমস্যার সৃষ্টি করে যেমন ট্রান্সাক্সান/লেনদেন নাকচ করা অথবা ব্যালেন্স/উদ্বৃত্ত পরিবর্তন করা, সিস্টেমের সব তথ্য সম্পূর্ণ প্রকাশের অনুমতি, উপাত্ত/তথ্য নষ্ট করে ফেলা অথবা এটি অন্যত্র অনুপলব্ধ করা এবং ডাটাবেজ সার্ভারের প্রশাসক হওয়া ইত্যাদির অনুমতি দেয়।
২০১২র একটি সমীক্ষায় দেখা গেছে যে গড় ওয়েব অ্যাপ্লিকেশন প্রতি মাসে ৪টি আক্রমণের প্রচারণা পেয়েছে, খুচরো ব্যবসায়ী ও অন্যান্য ব্যাবসায়ীদের গড়ে ২টি আক্রান্ত হবার সম্ভাবনা দেখা গেছে।[2]