Abstract:
Атаки с использованием SQL-инъекций были признаны самой опасной уязвимостью веб-систем за более чем десятилетие по версии OWASP. Несмотря на то, что для противодействия атакам SQL-инъекций были предложены различные статические, динамические и гибридные подходы, ни один подход не гарантирует безупречное предотвращение/обнаружение этих атак. Каждый год сообщается, что сотни компонентов программного обеспечения с открытым исходным кодом и коммерческих программных продуктов уязвимы для SQL-инъекций в репозиторий CVE. В этом исследовании определяются различные существующие подходы с точки зрения стоимости вычислений и предлагаемой защиты. Обнаружено, что большинство существующих методов утверждают, что предлагают защиту, основанную на тестировании в очень небольшом или ограниченном масштабе. В этом исследовании анализируется каждый предложенный подход, выделяются их сильные и слабые стороны, а также классифицируются на основе базовой технологии, используемой для обнаружения или противодействия инъекционным атакам.