Skip to content

SQL injection: una panoramica delle criticità nel contesto dell'accesso remoto all'informazione

Informazioni tesi

  Autore: Christian Salotto
  Tipo: Laurea liv.I
  Anno: 2017-18
  Università: Università Telematica "E-Campus"
  Facoltà: Ingegneria
  Corso: Ingegneria dell'informazione
  Relatore: Luigi Sarti
  Lingua: Italiano
  Num. pagine: 154

La SQL Injection (SQLI) è una tecnica di attacco informatico conosciuta dal 1998, ma resta ancora oggi una delle maggiori minacce che affliggono l’accesso remoto a una base dati. Gode di una certa notorietà come veicolo d’attacco a siti web e in particolare ai web database attraverso le web application, ma vessa in generale qualsiasi database SQL non adeguatamente protetto.
Le tecniche ascrivibili alla famiglia SQLI permettono di fornire accesso non autorizzato a informazioni riservate, consentono l’esecuzione di operazioni di ogni sorta sul database e la manipolazione del server SQL, e agevolano l’impiego di ulteriori tecniche di hacking.
Nonostante la posizione preminente tra le vulnerabilità più frequenti tra le applicazioni di gestione dati, la SQLI è un problema spesso sottostimato - quando non del tutto ignorato - in sede di programmazione, sicurezza e ingegneria del software.
Alla luce della sua diffusione e potenziale pericolosità, la sottovalutazione di questa minaccia mi colpì sin da quando, studiando le basi di dati e il linguaggio di programmazione SQL/MySQL per sostenere l’esame di “Ingegneria del software e basi di dati”, me ne interessai per la prima volta.
L’intendimento di questa tesi è di presentare le principali tecniche di injection esistenti. Sarà proposta una classificazione delle SQLI e dei metodi di prevenzione. Qualche esempio di SQLIA verrà illustrato con degli esperimenti di laboratorio e si indicheranno alcuni strumenti software a disposizione di chi si occupa di sicurezza delle applicazioni web.
Il primo capitolo introduce per sommi capi le idee di base funzionali alla fruizione di questa dissertazione.
Nel secondo capitolo si contestualizza il problema delle vulnerabilità dovute a tecniche di SQL injection, valutandone diffusione a livello mondiale e impatto economico. Si propone inoltre una rassegna di casi balzati agli onori della cronaca.
Il terzo capitolo approfondisce aspetti salienti necessari alla comprensione delle SQL injection. Sono esposte nozioni quali compilazione e interpretazione, iniezione remota, applicazione web e SQL injection. In più si indica una possibile tassonomia delle SQL injection.
Il quarto capitolo è principalmente il resoconto di personali esperienze di laboratorio, effettuate per approfondire il meccanismo di funzionamento delle SQL injection. Sono presentati gli strumenti informatici utilizzati per realizzare gli esperimenti e si descrivono alcuni dei test eseguiti. Si espongono infine alcuni degli strumenti a disposizione degli esperti di sicurezza informatica.
Nel quinto capitolo si affronta il tema della prevenzione. Sono proposte alcune classificazioni dei metodi di individuazione e si descrivono le tecniche di difesa più in uso.
Il sesto capitolo espone le conclusioni di questa dissertazione. Si riassumono il lavoro svolto e gli obiettivi raggiunti. Sono altresì indicate possibili linee di sviluppo futuro per l’approfondimento della tematica delle SLI injection.
Considerato l’uso pervasivo delle applicazioni web per le più disparate operazioni (shopping online, banking, interazioni sociali nei social network, ecc.), garantire un accesso sicuro all’informazione è di basilare importanza.
Questo elaborato vuole essere uno strumento orientativo per chi si avvicina a questi temi. Innanzitutto sono stati enucleate le dinamiche che contraddistinguono le SQLI . Le principali tipologie di questo attacco sono state presentate e inquadrate nell’ambito di una classificazione sistematica. Altrettanto è stato fatto con le tecnologie di difesa.
Non si è voluto tralasciare un approccio pratico alla questione, istituendo un ambiente di test dove poter riprodurre alcune delle criticità in discussione. La questione è stata affrontata anche considerando l’approccio degli esperti di sicurezza e si sono visti alcuni degli strumenti a loro disposizione.

Informazioni tesi

  Autore: Christian Salotto
  Tipo: Laurea liv.I
  Anno: 2017-18
  Università: Università Telematica "E-Campus"
  Facoltà: Ingegneria
  Corso: Ingegneria dell'informazione
  Relatore: Luigi Sarti
  Lingua: Italiano
  Num. pagine: 154

CONSULTA INTEGRALMENTE QUESTA TESI

La consultazione è esclusivamente in formato digitale .PDF

Acquista
Mostra/Nascondi contenuto.
1 INTRODUZIONE L’iniezione di codice SQL La SQL Injection (SQLI) è una tecnica di attacco informatico documentata da almeno il 1998 1 , ma resta ancora oggi una delle maggiori minacce che affliggono l’accesso remoto a una base dati. Gode di una certa notorietà come veicolo d’attacco a siti web e in particolare ai web database attraverso le web application, ma vessa in generale qualsiasi database SQL non adeguatamente protetto. Le tecniche ascrivibili alla famiglia SQLI permettono di fornire accesso non autorizzato a informazioni riservate, consentono l’esecuzione di operazioni di ogni sorta sul database e la manipolazione del server SQL, e agevolano l’impiego di ulteriori tecniche di hacking. Lo studio di questo malware 2 e della sua prevenzione interessa dunque sia aspetti di gestione dei database che di sicurezza informatica. Il termine injection evoca in maniera puntuale la modalità d’infezione: una porzione di codice SQL viene surrettiziamente inserita (“iniettata”) da un client 1 Jeff Forristal, NT Web Technology Vulnerabilities, Phrack Magazine Volume 8, Issue 54, 25 December 1998, article 08 of 12, su http://phrack.org/issues/54/8.html, URL consultato il 07.04.2018. 2 « "Malware" is short for malicious software and is typically used as a catch-all term to refer to any software designed to cause damage to a single computer, server, or computer network, whether it's a virus, spyware, et al. », Robert Moir, Defining Malware: FAQ, Microsoft Technet, 15 October 2003, https://technet.microsoft.com/en-us/library/dd632948.aspx, URL consultato il 07.04.2018.

CONSULTA INTEGRALMENTE QUESTA TESI

La consultazione è esclusivamente in formato digitale .PDF

Acquista

FAQ

Per consultare la tesi è necessario essere registrati e acquistare la consultazione integrale del file, al costo di 29,89€.
Il pagamento può essere effettuato tramite carta di credito/carta prepagata, PayPal, bonifico bancario, bollettino postale.
Confermato il pagamento si potrà consultare i file esclusivamente in formato .PDF accedendo alla propria Home Personale. Si potrà quindi procedere a salvare o stampare il file.
Maggiori informazioni
Ingiustamente snobbata durante le ricerche bibliografiche, una tesi di laurea si rivela decisamente utile:
  • perché affronta un singolo argomento in modo sintetico e specifico come altri testi non fanno;
  • perché è un lavoro originale che si basa su una ricerca bibliografica accurata;
  • perché, a differenza di altri materiali che puoi reperire online, una tesi di laurea è stata verificata da un docente universitario e dalla commissione in sede d'esame. La nostra redazione inoltre controlla prima della pubblicazione la completezza dei materiali e, dal 2009, anche l'originalità della tesi attraverso il software antiplagio Compilatio.net.
  • L'utilizzo della consultazione integrale della tesi da parte dell'Utente che ne acquista il diritto è da considerarsi esclusivamente privato.
  • Nel caso in cui l'Utente volesse pubblicare o citare una tesi presente nel database del sito www.tesionline.it deve ottenere autorizzazione scritta dall'Autore della tesi stessa, il quale è unico detentore dei diritti.
  • L'Utente è l'unico ed esclusivo responsabile del materiale di cui acquista il diritto alla consultazione. Si impegna a non divulgare a mezzo stampa, editoria in genere, televisione, radio, Internet e/o qualsiasi altro mezzo divulgativo esistente o che venisse inventato, il contenuto della tesi che consulta o stralci della medesima. Verrà perseguito legalmente nel caso di riproduzione totale e/o parziale su qualsiasi mezzo e/o su qualsiasi supporto, nel caso di divulgazione nonché nel caso di ricavo economico derivante dallo sfruttamento del diritto acquisito.
  • L'Utente è a conoscenza che l'importo da lui pagato per la consultazione integrale della tesi prescelta è ripartito, a partire dalla seconda consultazione assoluta nell'anno in corso, al 50% tra l'Autore/i della tesi e Tesionline Srl, la società titolare del sito www.tesionline.it.
L'obiettivo di Tesionline è quello di rendere accessibile a una platea il più possibile vasta il patrimonio di cultura e conoscenza contenuto nelle tesi.
Per raggiungerlo, è fondamentale superare la barriera rappresentata dalla lingua. Ecco perché cerchiamo persone disponibili ad effettuare la traduzione delle tesi pubblicate nel nostro sito.

Scopri come funziona »

DUBBI? Contattaci

Contatta la redazione a
[email protected]

Ci trovi su Skype (redazione_tesi)
dalle 9:00 alle 13:00

Oppure vieni a trovarci su

Parole chiave

sql injection
threat
sqli
sqlia
database attack
iniezione sql
owasp
akamai
pen testing
penetration testing

Non hai trovato quello che cercavi?


Abbiamo più di 45.000 Tesi di Laurea: cerca nel nostro database

Oppure consulta la sezione dedicata ad appunti universitari selezionati e pubblicati dalla nostra redazione

Ottimizza la tua ricerca:

  • individua con precisione le parole chiave specifiche della tua ricerca
  • elimina i termini non significativi (aggettivi, articoli, avverbi...)
  • se non hai risultati amplia la ricerca con termini via via più generici (ad esempio da "anziano oncologico" a "paziente oncologico")
  • utilizza la ricerca avanzata
  • utilizza gli operatori booleani (and, or, "")

Idee per la tesi?

Scopri le migliori tesi scelte da noi sugli argomenti recenti


Come si scrive una tesi di laurea?


A quale cattedra chiedere la tesi? Quale sarà il docente più disponibile? Quale l'argomento più interessante per me? ...e quale quello più interessante per il mondo del lavoro?

Scarica gratuitamente la nostra guida "Come si scrive una tesi di laurea" e iscriviti alla newsletter per ricevere consigli e materiale utile.


La tesi l'ho già scritta,
ora cosa ne faccio?


La tua tesi ti ha aiutato ad ottenere quel sudato titolo di studio, ma può darti molto di più: ti differenzia dai tuoi colleghi universitari, mostra i tuoi interessi ed è un lavoro di ricerca unico, che può essere utile anche ad altri.

Il nostro consiglio è di non sprecare tutto questo lavoro:

È ora di pubblicare la tesi