Search

Your search keyword '"SQL (Computer program language)"' showing total 5 results
Start Over Descriptor "SQL (Computer program language)" Language greek
5 results on '"SQL (Computer program language)"'

1. SQL injection in DVWA web application and protection mechanisms of databases

Author

Φούντας, Ευάγγελος

Subjects
SQL (Computer program language), Computer security, Βάσεις δεδομένων -- Προστασία
Abstract

Ο SQL injection είναι ένας τρόπος επίθεσης στον οποίο εισάγεται ή επισυνάπτεται SQL κώδικας σε παραμέτρους εισόδου της εφαρμογής του χρήστη ο οποίος στη συνέχεια περνάει στον SQL server για ανάλυση και εκτέλεση. Οποιαδήποτε διαδικασία κατασκευάζει SQL δηλώσεις μπορεί να θεωρηθεί ευάλωτη σε επιθέσεις καθώς η διαφορετικότητα της φύσης της SQL και οι διαθέσιμες μέθοδοι για την κατασκευή της παρέχει μία πληθώρα επιλογών κωδικοποίησης. Η πρωταρχική μορφή της SQL injection αποτελείται από απευθείας εισαγωγή κώδικα σε παραμέτρους οι οποίες συνδέονται με SQL εντολές. Σε μία λιγότερο άμεση επίθεση εισάγεται κακόβουλος κώδικας μέσω συμβολοσειρών οι οποίες είναι προορισμένες για αποθήκευση σε πίνακα. Όταν οι αποθηκευμένες συμβολοσειρές συνδέονται με δυναμική εντολή SQL ο κακόβουλος κώδικας θα εκτελεστεί. Όταν μία εφαρμογή Web αποτυγχάνει να διασφαλίσει τις παραμέτρους οι οποίες περνάνε στην δημιουργία δυναμικών δηλώσεων SQL είναι δυνατόν για έναν εισβολέα να μεταβάλλει τη δομή αυτών. Όταν ένας εισβολέας είναι ικανός να μεταβάλει μια δήλωση SQL η δήλωση θα εκτελεστεί με τα ίδια δικαιώματα που θα εκτελούνταν από τον χρήστη της φόρμας. Καθώς ο εισβολέας χρησιμοποιεί τον SQL server για να εκτελέσει εντολές οι οποίες αλληλεπιδρούν με το λειτουργικό σύστημα, η διαδικασία θα τρέξει με τα ίδια δικαιώματα με αυτά με τα οποία εκτέλεσε την εντολή (database server, application server, Web server) το οποίο συχνά έχει υψηλά προνόμια. Οι web εφαρμογές οι οποίες είναι ευάλωτες σε SQL injection μπορεί να επιτρέψουν στον εισβολέα να αποκτήσει πλήρη πρόσβαση στις βάσεις δεδομένων τους. Επειδή αυτές οι βάσεις δεδομένων περιέχουν ευαίσθητες πληροφορίες των καταναλωτών ή των χρηστών τα αποτελέσματα των παραβιάσεων ασφαλείας περιλαμβάνουν την εκροή εμπιστευτικών πληροφοριών και γενικότερα την απάτη. Σε κάποιες περιπτώσεις οι εισβολείς χρησιμοποιούν την ευπάθεια μιας εφαρμογής σε SQL injection για να αναλάβουν τον έλεγχο και τελικά να καταστρέψουν το σύστημα που φιλοξενεί τη συγκεκριμένη εφαρμογή Web. Οι εφαρμογές Web οι οποίες είναι ευάλωτες σε επιθέσεις SQL (SQLIAs = SQL injection Attacks) είναι ευρέως διαδεδομένες ενώ συγκεκριμένη έρευνα της Gartner Group έδειξε πως πάνω από 300 Web τοποθεσίες στο δίκτυο έχουν δεχθεί επιθέσεις τύπου SQLIAs. Στην πραγματικότητα για την κατηγορία των SQLIAs έχουν μπει στο στόχαστρο με επιτυχία υψηλά προφίλ θυμάτων όπως TravelocityFTD.com και Guess.Inc. Η μέθοδος SQL injection αναφέρεται σε μία τάξη επίθεσης με εισαγωγή κώδικα στην οποία τα δεδομένα που παρέχονται από τον χρήστη εμπεριέχονται σε ένα SQL query με τέτοιο τρόπο ώστε μέρος των εισαχθέντων στοιχείων του χρήστη να αντιμετωπίζονται σαν SQL κώδικας. Αξιοποιώντας αυτά τα θέματα ευπάθειας ορισμένων εφαρμογών ένας εισβολέας μπορεί να υποβάλει SQL queries απευθείας στην βάση δεδομένων. Αυτού του είδους οι επιθέσεις αποτελούν σοβαρή απειλή για κάθε Web εφαρμογή η οποία δέχεται την εισαγωγή δεδομένων από χρήστες και τα οποία ενσωματώνει σε SQL queries σε μία βάση δεδομένων. Οι περισσότερες Web εφαρμογές οι οποίες χρησιμοποιούνται στο δίκτυο ή σε εταιρικά συστήματα ακολουθούν αυτή τη λογική λειτουργίας και διάδρασης με τον χρήστη και επομένως είναι τρωτές σε SQL injection. Η αιτία δημιουργίας τρωτών σημείων ευάλωτων σε SQL injection είναι σχετικά απλή και κατανοητή και πρόκειται για την ανεπαρκή επικύρωση των εισαχθέντων δεδομένων από τον χρήστη. Για την αντιμετώπιση αυτού του προβλήματος οι προγραμματιστές έχουν προτείνει μια σειρά κατευθυντήριων γραμμών κωδικοποίησης οι οποίες προωθούν αμυντικές πρακτικές κωδικοποίησης όπως είναι η κωδικοποίηση των εισαχθέντων στοιχείων από το χρήστη και η επικύρωση τους. Μια αυστηρή και συστηματική εφαρμογή αυτών των τεχνικών αποτελεί μια αποτελεσματική αντιμετώπιση της ευπάθειας της εφαρμογής σε επιθέσεις με SQL injection. Ωστόσο στην πράξη η εφαρμογή τέτοιων τεχνικών βασίζεται στην επιλογή του προγραμματιστή και γι’ αυτό είναι επιρρεπής σε σφάλματα. Αν και πρόσφατα ξεκίνησε να δίνεται μεγάλη βάση στο πρόβλημα ευπάθειας μιας εφαρμογής με SQL injection πολλές από τις προτεινόμενες λύσεις αδυνατούν να αντιμετωπίσουν το πρόβλημα στην πλήρη του έκταση. Υπάρχουν πολλοί τύποι SQLIAs καθώς και αμέτρητες παραλλαγές των τύπων αυτών. Ερευνητές καθώς και επαγγελματίες συχνά αγνοούν αυτή τη μυριάδα των διαφορετικών τεχνικών που μπορούν να χρησιμοποιηθούν για την εκτέλεση των SQLIAs. Επομένως οι περισσότερες από τις προτεινόμενες λύσεις αποτρέπουν ή ανιχνεύουν μόνο ένα υποσύνολο των πιθανών SQLIAs. Για κάθε είδος επίθεσης δίνεται ένας χαρακτηρισμός που απεικονίζει το αποτέλεσμά του. Μία επίθεση με SQL injection (SQLIA) πραγματοποιείται όταν ο εισβολέας αλλάζει το επιδιωκόμενο αποτέλεσμα ενός SQL query με την εισαγωγή λέξεων-κλειδιά της SQL. Αυτός ο άτυπος ορισμός περιλαμβάνει όλες τις παραλλαγές των SQLIAs. Παρακάτω ορίζουμε δύο σημαντικά χαρακτηριστικά των SQLIAs που χρησιμοποιούμε για την περιγραφή των επιθέσεων: ο μηχανισμός injection και η πρόθεση επίθεσης (attack intent).

Published
2015

2. Σχεδιασμός και υλοποίηση πληροφοριακού συστήματος για την εταιρεία επαγγελματικών αυτοκινήτων 'ΧΡΙΣΤΟΦΟΡΑΤΟΣ ΚΩΝ/ΝΟΣ & ΣΙΑ Ο.Ε.' = Desing and implementation of information systems for the commercial vehicle company 'CHRISTOFORATOS KON/NOS & Co.'

Author

Βίρβου, Μαρία

Subjects
SQL (Computer program language), Πληροφοριακά συστήματα, Visual Basic (Computer program language), Ανταγωνισμός επιχειρήσεων
Abstract

Τα τελευταία χρόνια, σημαντικές εξελίξεις στο παγκόσμιο οικονομικό γίγνεσθαι και στην εμφάνιση νέων τεχνολογιών στον τομέα των επιχειρήσεων, έχουν εγείρει νέες προκλήσεις για τη διαχείριση δεδομένων και πληροφορίας έχοντας ως μέσο την πληροφορική, αφού έχουν συσσωρεύσει τεράστιο πλήθος πολυειδών δεδομένων. Είναι έτσι, κοινώς αποδεκτό, πως κάθε μορφής οργανισμός ή σύγχρονη επιχείρηση σήμερα εξαρτάται σε μεγάλο βαθμό από την τεχνολογία. Η χρήση των νέων τεχνολογιών δίνει σε όλες τις επιχειρήσεις σημαντικό ανταγωνιστικό πλεονέκτημα, ενώ αντίθετα η έλλειψη των νέων τεχνολογιών μπορεί να αποβεί μοιραία για μια επιχείρηση και να αποφέρει ακόμα και την λήξη της. Για να παραμείνουν λοιπόν στο προσκήνιο οι επιχειρήσεις, επενδύουν σε διάφορα Πληροφοριακά Συστήματα που βοηθάνε όχι μόνο στην παραγωγή, αλλά γενικότερα στην διοίκηση όλης της επιχείρησης. Η παρούσα διπλωματική εργασία ασχολείται με το πεδίο αυτό και συγκεκριμένα με τη μελέτη, το σχεδιασμό και την υλοποίηση ενός Πληροφοριακού Συστήματος. Η εφαρμογή που υλοποιήθηκε, βασίζεται σε σύγχρονες τεχνολογίες, όπως είναι η Visual Basic και η SQL. Περιλαμβάνει στοιχεία πελατών, οχημάτων, παραγγελιών καθώς και τις οικονομικές συναλλαγές εταιρείας και πελατών. Περιλαμβάνει επίσης όλα τα στοιχεία service των οχημάτων που έχουν επισκεφθεί την εταιρεία για να πραγματοποιήσουν επισκευή. Τέλος, παρέχει στο προσωπικό της εταιρείας την δυνατότητα άντλησης πληροφοριών στατιστικής φύσεως. Με βάση τα παραπάνω, η εφαρμογή που αναπτύχθηκε, είναι φιλική προς το χρήστη και πληροί όλες τις προϋποθέσεις ευχρηστίας και ασφάλειας των σημαντικών για την λειτουργία της εταιρείας δεδομένα. Η σημαντικότητα της εφαρμογής έγκειται στο γεγονός ότι τα στοιχεία αποθηκεύονται με ασφάλεια σε μία βάση δεδομένων και είναι ανά πάσα στιγμή στη διάθεση του προσωπικού. Επίσης, δόθηκε ιδιαίτερη έμφαση στη δημιουργία ενός εύχρηστου περιβάλλοντος διαχείρισης, το οποίο μπορεί να χειριστεί ο εκάστοτε ο χρήστης, χωρίς αυτό να προϋποθέτει ιδιαίτερες γνώσεις πληροφορικής. Η εργασία αυτή είναι δομημένη σε κεφάλαια. Σκοπός αυτών είναι να παρουσιάσουν με τρόπο συνοπτικό ότι αφορά στη θεωρητική αλλά και τεχνολογική πλευρά του θέματος., In recent years, significant developments in the world economy and the emergence of new technologies in the field of business, have raised new challenges for data management and information, having as a means of the computer science, as it have been accumulated a vast array manifold data. So, it is commonly accepted, that today, all forms of modern business or organization relies heavily on technology. The use of new technologies gives all businesses a significant competitive advantage, while the lack of new technologies can be fatal to a business and generate even close. So, to remain at the forefront, companies are investing in different information systems, that help not only in production, but in general in command of the whole enterprise. This dissertation deals with this field and specifically to the study, design and implementation of an Information System. The application was implemented, based on modern technology, such as Visual Basic and SQL. Includes customer information, vehicle orders and financial transactions between company and customers. It also includes all the elements of service vehicles have visited the company to make repairs. Finally, it provides to company personnel to retrieve statistical nature information. Based on the above, the application which developed is friendly to user and meets all the requirements of usability and security for the important to the operation of the company data. The importance of the application is that the data stored securely in a database and they are anytime available to staff. Also, attention was focused on creating an intuitive management interface, which can handle each user, without this entailing special computer knowledge. This paper is structured into chapters. The purpose of these is to present a summary that refers to the theoretical and technological aspect.

Published
2014

3. Επίθεση τύπου SQL injection: απειλές και προστασία

Author

Ξενάκης, Χρήστος

Subjects
SQL (Computer program language), Computer security
Abstract

To SQL Injection αποτελεί βασική επίθεση που χρησιμοποιείται είτε για να αποκτήσει κάποιος παράνομη πρόσβαση σε μια βάση δεδομένων είτε για να ανακτήσει πληροφορίες απευθείας από τη βάση. Οι βασικές αρχές που χαρακτηρίζουν το SQL Injection είναι απλές και εύκολες στην εκτέλεση και τη διαχείριση. Κάθε πρόγραμμα ή εφαρμογή μπορεί να είναι ευπαθές στην εισαγωγή εντολών SQL συμπεριλαμβανομένων αποθηκευμένων διαδικασιών που εκτελούνται με απευθείας σύνδεση στη βάση δεδομένων. Οι διαδικτυακές εφαρμογές βρίσκονται σε υψηλό κίνδυνο για επίθεση, δεδομένου ότι συχνά ένας εισβολέας μπορεί να εκμεταλλευτεί τα τρωτά τους σημεία κάνοντας SQL Injection απομακρυσμένα χωρίς οποιαδήποτε βάση δεδομένων ή αυθεντικοποίηση. Ευτυχώς, οι επιθέσεις SQL Injection είναι εύκολο να αποτραπούν με χρήση απλών πρακτικών κωδικοποίησης. Ωστόσο, κάθε παράμετρος που περνάει σε κάποια δυναμική βάση δεδομένων μέσω κάποιας εντολής SQL, θα πρέπει να είναι επικυρωμένη ή αλλιώς να δεσμευτούν μεταβλητές που πρέπει υποχρεωτικά να χρησιμοποιούνται. Το SQL Injection είναι ένας από τους πολλούς δικτυακούς μηχανισμούς επίθεσης που χρησιμοποιούνται από χάκερ με σκοπό την κλοπή των δεδομένων από τις διάφορες web εφαρμογές. Είναι ίσως μία από τις πιο κοινές τεχνικές επίθεσης σε επίπεδο εφαρμογής που χρησιμοποιούνται σήμερα. Το είδος αυτό της επίθεσης εκμεταλλεύεται τις δυνατότητες της μη εξουσιοδοτημένης κωδικοποίησης των web εφαρμογών που επιτρέπουν στους χάκερ να προσθέσουν εντολές SQL για παράδειγμα, σε κάποια login φόρμα για να τους επιτρέψει να αποκτήσουν πρόσβαση στα δεδομένα εντός της βάσης δεδομένων. Στην ουσία, το SQL Injection οφείλεται στο γεγονός ότι τα διαθέσιμα πεδία του χρήστη επιτρέπουν σε SQL εντολές να περάσουν και να "ρωτήσουν" τη βάση δεδομένων άμεσα. Γενικά, με τη μέθοδο των SQL injections κακόβουλοι χρήστες επιδιώκουν να εκμεταλλευτούν ευπάθειες στην ασφάλεια μιας εφαρμογής web, ώστε να επέμβουν στα δεδομένα της βάσης. Ως μέθοδος επίθεσης δεν είναι νέα ούτε πολύπλοκη.

Published
2013

4. Ασφάλεια στο διαδίκτυο: επιθέσεις SQL injection

Author

Ξενάκης, Χρήστος

Subjects
SQL (Computer program language), Διαδίκτυο (Internet) -- Μέτρα ασφαλείας, Computer security
Abstract

Την τελευταία δεκαετία, η ραγδαία ανάπτυξη του διαδικτύου, έχει σαν αποτέλεσμα να εκτίθεται στον παγκόσμιο ιστό ένας τεράστιος όγκος πληροφοριών. Αυτές όλες οι πληροφορίες, στις περισσότερες των περιπτώσεων, αφορούν χρήστες του διαδικτύου, οι οποίοι αγνοούν τους κινδύνους που ελλοχεύουν. Είναι πολλές οι φορές που οποιοσδήποτε από εμάς, έχει εισάγει τα προσωπικά του στοιχεία σε μία ιστοσελίδα ή ένα forum, χωρίς να έχει αναρωτηθεί κατά πόσον αυτή εφαρμογή είναι ασφαλής. Είναι σύνηθες να θεωρούμε εκ των προτέρων μια εφαρμογή ασφαλής. Ωστόσο, η έκθεση των ιστοσελίδων στον παγκόσμιο ιστό, τις καθιστά διαρκώς πιθανούς στόχους. Σύμφωνα με την ετήσια αναφορά του οργανισμού Impreva (Imperva Web Application Attack Report), κάθε εφαρμογή που είναι εκτεθειμένη στον παγκόσμιο ιστό δέχεται στατιστικά μία επίθεση κάθε δύο λεπτά. Αυτό το στοιχείο από μόνο του αναδεικνύει την ανάγκη της θωράκισης των διαδικτυακών εφαρμογών. Το μεγαλύτερο ποσοστό του συνόλου των web επιθέσεων, πραγματοποιείται με τη χρήση της τεχνικής SQL Injection. Παρόλο που δεν είναι εφικτό να γνωρίζουμε ακριβώς πόσες επιθέσεις έχουν πραγματοποιηθεί με αυτή την τεχνική, εκτιμάται ότι το 60% των επιθέσεων που πραγματοποιούνται στο διαδίκτυο σχετίζονται με την SQL Injection. Στην παρούσα εργασία παρουσιάζονται διάφορες εφαρμογές των SQL Injection επιθέσεων με παραδείγματα. Κατόπιν πραγματοποιείται μία ολοκληρωμένη επίθεση σε μια πλήρως λειτουργική web εφαρμογή και έπειτα γίνεται μια προσπάθεια να θωρακιστεί αυτή η εφαρμογή και να καταστούν τέτοιου είδους επιθέσεις ανέφικτες.

Published
2013

5. Ανάπτυξη συστήματος διαχείρισης δεξιοτήτων εργαζομένων

Author

Ρετάλης, Συμεών

Subjects
Επιχειρησιακή εκπαίδευση, Επαγγελματική εκπαίδευση, SQL (Computer program language), Εργασία και εργαζόμενοι -- Εκπαίδευση
Abstract

Η παρούσα εργασία ασχολείται με την ανάπτυξη συστήματος διαχείρισης δεξιοτήτων των εργαζομένων μιας εταιρίας με βάση τα επαγγελματικά περιγράμματα, όπως αυτά ορίζονται από τον Εθνικό Οργανισμό Πιστοποίησης Προσόντων και Επαγγελματικού Προσανατολισμού (Ε.Ο.Π.Π.ΕΠ.). Η ανάπτυξη του συστήματος στηρίχθηκε στα επαγγελματικά περιγράμματα έτσι ώστε οι δεξιότητες να είναι εξαρχής ορισμένες και οι εργαζόμενοι να αξιολογούνται με ενιαία κριτήρια. Στη βάση δεδομένων του συστήματος βρίσκονται καταγεγραμμένες όλες οι δεξιότητες και στη συνέχεια μέσω της εφαρμογής γίνεται η ανάκτηση, η εισαγωγή, η διαγραφή και η τροποποίηση τους. Το σύστημα χρησιμοποιεί σύγχρονες τεχνολογίες και υιοθετεί χαρακτηριστικά ώστε να θεωρείται ανταγωνιστικό σε σχέση με τα υπάρχοντα εμπορικά συστήματα., This project is about the development of a skill management system for a company’s employees based on the occupational profiles as they are defined by the National Organization of Qualifications Certification and Career Guidance. The development of the system is based on the occupational profiles, on the premise that the skills would be defined from the beginning and the employees would be assessed based on common criteria. All the skills are stored in the system's database and the application can call, enter, delete, or modify them. The system uses modern technologies and supports competitive features.

Published
2013

Catalog

Books, media, physical & digital resources
See catalog results