Kaj je ranljivost? Poglejmo si nekaj ranljivosti, ki se kljub dolgoro\u010dnemu obstoju \u0161e vedno pojavljajo pri spletnih aplikacijah.<\/p>\n SQL Injection (SQLi) in Blind SQL Injection<\/strong><\/p><\/blockquote>\n SQL Injection ali vrinjenje SQL stavkov je mo\u017eno, \u010de razvijalec ne preverja uporabni\u0161kih vnosov. Posledi\u010dno lahko napadalci preko nepreverjenih vnosnih polj vrinejo SQL poizvedbeni stavek, ki se nato izvede na bazi podatkov. Tak\u0161na poizvedba lahko razkrije, doda, spremeni ali izbri\u0161e tako zapise kot tudi celotne tabele podatkov.<\/p>\n Blind SQL Injection je bolj zapletena razli\u010dica SQLi. Napadalci ga uporabljajo, kadar tradicionalni SQLi ni mogo\u010d. Slepe SQL injekcije zahtevajo veliko \u010dasa in veliko \u0161tevilo zahtev. Skrbnik sistema lahko napad opazi tako, da z uporabo preprostih orodij za nadzor dnevnikov preveri veliko \u0161tevilo zahtev.<\/p>\n Kljub temu da se je SQL vrinjenje prvi\u010d pojavilo v 90ih letih in dandanes vsa glavna razvojna okolja vklju\u010dujejo orodja za njegovo odpravo, se ranljivost \u0161e vedno pogosto pojavlja.<\/p>\n Cross-site Scripting (XSS)<\/strong><\/p><\/blockquote>\n XSS napad se zgodi, ko napadalec vrine zlonamerno skripto na spletno stran, obi\u010dajno JavaScript. Interaktivne spletne aplikacije morajo izvajati skripte v lokalnem brskalniku, kar omogo\u010da \u00bbcross-site\u00ab – medsebojno skriptiranje.<\/p>\n Tovrstna ranljivost je mo\u017ena, \u010de razvijalec na spletni aplikaciji ne preverja uporabni\u0161kih vnosov. \u010ce uporabnik vklju\u010di JavaScript kodo v vnosni obrazec in spletna aplikacija ta vnos uporabi neposredno na strani, to zagotavlja ranljivost XSS.<\/p>\n Za boj proti tem napadom lahko uporabite CSP (Content Security Policy), vendar ta funkcionalnost \u0161e vedno ni dovolj priljubljena med spletnimi razvijalci.<\/p>\n Ranljive JavaSkript knji\u017enice<\/strong><\/p><\/blockquote>\n JavaScript knji\u017enice omogo\u010dajo hitrej\u0161i in enostavnej\u0161i razvoj spletnih aplikacij, vendar so nekatere verzije knji\u017enic lahko ranljive.<\/p>\n Cross-site Request Forgery (ponarejeni zahtevki)<\/strong><\/p><\/blockquote>\n Ranljivost se pojavi, ko spletni stre\u017enik prejme nepoobla\u0161\u010deno zahtevo s strani znanega brskalnika. Zahteve, ki jih brskalnik po\u0161lje stre\u017eniku lahko vklju\u010dujejo uporabni\u0161ke pi\u0161kotke seje \u2013 to se zgodi skoraj vedno, ko je uporabnik \u017ee prijavljen na spletno mesto.<\/p>\n Napadalec lahko ustvari zlonamerno povezavo, ki mu omogo\u010di izvedbo dolo\u010denega dejanja, na primer prenos finan\u010dnih sredstev z uporabnikovega ban\u010dnega ra\u010duna na drug ra\u010dun. Napadalec lahko to povezavo postavi na spletno mesto in prepri\u010da uporabnika, da klikne to povezavo (socialni in\u017eeniring). Ko uporabnik klikne povezavo, se zahteva po\u0161lje stre\u017eniku in ker je uporabnik \u017ee prijavljen, stre\u017enik izvede dejanje z njegovim ra\u010dunom.<\/p>\n
\n<\/strong>Ranljivost je napaka v aplikaciji ali napravi, ki jo lahko zlonamerni hekerji izkoristijo za dosego cilja, kot je kraja ob\u010dutljivih informacij, ogrozitev sistema tako, da postane nedosegljiv, ali po\u0161kodujejo podatke. Ranljivosti vrstimo glede na njihovo resnost: visoka, srednja, nizka.<\/span><\/p><\/blockquote>\n![\"SQL](\"https:\/\/adm-adria.si\/wp-content\/uploads\/2021\/02\/sqli.jpg\")
<\/a><\/p>\n<\/a><\/a>