سیکوئل انجیکشن، جسے ایس کیو ایل انجیکشن بھی کہا جاتا ہے، ویب ایپلیکیشن سیکیورٹی میں ایک اہم خطرہ ہے۔ ایسا اس وقت ہوتا ہے جب کوئی حملہ آور ویب ایپلیکیشن کے ڈیٹا بیس کے سوالات کے ان پٹ میں ہیرا پھیری کرنے کے قابل ہوتا ہے، جس سے وہ صوابدیدی SQL کمانڈز پر عمل درآمد کر سکتا ہے۔ یہ خطرہ ڈیٹا بیس میں محفوظ کردہ حساس ڈیٹا کی رازداری، سالمیت اور دستیابی کے لیے سنگین خطرہ ہے۔
یہ سمجھنے کے لیے کہ سیکوئل انجیکشن ایک اہم خطرہ کیوں ہے، سب سے پہلے ویب ایپلی کیشنز میں ڈیٹا بیس کے کردار کو سمجھنا ضروری ہے۔ ڈیٹا بیس عام طور پر ویب ایپلیکیشنز کے لیے ڈیٹا کو ذخیرہ کرنے اور بازیافت کرنے کے لیے استعمال ہوتے ہیں، جیسے صارف کی اسناد، ذاتی معلومات، اور مالیاتی ریکارڈ۔ ڈیٹا بیس کے ساتھ تعامل کرنے کے لیے، ویب ایپلیکیشنز استفسارات کی تعمیر اور عمل درآمد کے لیے Structured Query Language (SQL) کا استعمال کرتی ہیں۔
سیکوئل انجیکشن ویب ایپلیکیشن میں غلط ان پٹ توثیق یا سینیٹائزیشن کا فائدہ اٹھاتا ہے۔ جب صارف کی طرف سے فراہم کردہ ان پٹ کو درست طریقے سے توثیق یا صاف نہیں کیا جاتا ہے، تو حملہ آور استفسار میں بدنیتی پر مبنی ایس کیو ایل کوڈ داخل کر سکتا ہے، جس کی وجہ سے ڈیٹا بیس کے ذریعے اس پر عمل درآمد ہوتا ہے۔ یہ مختلف قسم کے نقصان دہ نتائج کا باعث بن سکتا ہے، بشمول حساس ڈیٹا تک غیر مجاز رسائی، ڈیٹا میں ہیرا پھیری، یا یہاں تک کہ بنیادی سرور سے مکمل سمجھوتہ۔
مثال کے طور پر، لاگ ان فارم پر غور کریں جو صارف نام اور پاس ورڈ قبول کرتا ہے۔ اگر ویب ایپلیکیشن ان پٹ کو درست طریقے سے درست یا صاف نہیں کرتی ہے، تو حملہ آور ایک بدنیتی پر مبنی ان پٹ تیار کر سکتا ہے جو SQL استفسار کے مطلوبہ رویے کو بدل دیتا ہے۔ حملہ آور کچھ درج کر سکتا ہے جیسے:
' OR '1'='1' --
یہ ان پٹ، جب ایس کیو ایل استفسار میں داخل کیا جاتا ہے، تو استفسار کو ہمیشہ درست کرنے کا سبب بنتا ہے، مؤثر طریقے سے تصدیق کے طریقہ کار کو نظرانداز کرتے ہوئے اور حملہ آور کو سسٹم تک غیر مجاز رسائی فراہم کرتا ہے۔
سیکوئل انجیکشن حملوں کے ویب ایپلیکیشن سیکیورٹی پر شدید مضمرات ہوسکتے ہیں۔ وہ حساس معلومات کے غیر مجاز افشاء کا باعث بن سکتے ہیں، جیسے کہ گاہک کا ڈیٹا، مالیاتی ریکارڈ، یا املاک دانش۔ ان کے نتیجے میں ڈیٹا میں ہیرا پھیری بھی ہو سکتی ہے، جہاں حملہ آور ڈیٹا بیس میں محفوظ ڈیٹا کو تبدیل یا حذف کر سکتا ہے۔ مزید برآں، سیکوئل انجیکشن کو مزید حملوں کے لیے ایک قدمی پتھر کے طور پر استعمال کیا جا سکتا ہے، جیسے استحقاق میں اضافہ، ریموٹ کوڈ پر عمل درآمد، یا یہاں تک کہ بنیادی سرور کا مکمل سمجھوتہ۔
سیکوئل انجیکشن کی کمزوریوں کو کم کرنے کے لیے، مناسب ان پٹ کی توثیق اور صفائی کی تکنیک کو نافذ کرنا بہت ضروری ہے۔ اس میں پیرامیٹرائزڈ سوالات یا تیار کردہ بیانات کا استعمال شامل ہے، جو ایس کیو ایل کوڈ کو صارف کے فراہم کردہ ان پٹ سے الگ کرتے ہیں۔ مزید برآں، ان پٹ کی توثیق اور سینیٹائزیشن کو سرور سائیڈ پر انجام دیا جانا چاہیے تاکہ یہ یقینی بنایا جا سکے کہ صرف متوقع اور درست ان پٹ پر کارروائی کی جائے۔
حساس ڈیٹا کی رازداری، سالمیت اور دستیابی سے سمجھوتہ کرنے کی صلاحیت کی وجہ سے سیکوئل انجیکشن ویب ایپلیکیشن سیکیورٹی میں ایک اہم خطرہ ہے۔ یہ نقصان دہ ایس کیو ایل کوڈ کو انجیکشن کرنے کے لیے غلط ان پٹ کی توثیق یا سینیٹائزیشن کا فائدہ اٹھاتا ہے، جس سے حملہ آوروں کو ڈیٹا بیس پر من مانی احکامات پر عمل درآمد کرنے کی اجازت ملتی ہے۔ اس خطرے کو کم کرنے اور سیکوئل انجیکشن حملوں سے ویب ایپلیکیشنز کی حفاظت کے لیے مناسب ان پٹ کی توثیق اور صفائی کی تکنیکوں کو نافذ کرنا ضروری ہے۔
سے متعلق دیگر حالیہ سوالات اور جوابات EITC/IS/WASF ویب ایپلیکیشنز سیکیورٹی کے بنیادی اصول:
- بازیافت میٹا ڈیٹا کی درخواست کے ہیڈر کیا ہیں اور انہیں ایک ہی اصل اور کراس سائٹ کی درخواستوں کے درمیان فرق کرنے کے لیے کیسے استعمال کیا جا سکتا ہے؟
- قابل اعتماد قسمیں کس طرح ویب ایپلیکیشنز کے حملے کی سطح کو کم کرتی ہیں اور حفاظتی جائزوں کو آسان بناتی ہیں؟
- قابل اعتماد قسموں میں پہلے سے طے شدہ پالیسی کا مقصد کیا ہے اور اسے غیر محفوظ سٹرنگ اسائنمنٹس کی شناخت کے لیے کیسے استعمال کیا جا سکتا ہے؟
- ٹرسٹڈ ٹائپس API کا استعمال کرتے ہوئے ٹرسٹڈ ٹائپ آبجیکٹ بنانے کا عمل کیا ہے؟
- مواد کی حفاظت کی پالیسی میں قابل اعتماد قسم کی ہدایت DOM پر مبنی کراس سائٹ اسکرپٹنگ (XSS) کی کمزوریوں کو کم کرنے میں کس طرح مدد کرتی ہے؟
- قابل اعتماد قسمیں کیا ہیں اور وہ ویب ایپلیکیشنز میں DOM پر مبنی XSS کی کمزوریوں کو کیسے دور کرتی ہیں؟
- مواد کی حفاظت کی پالیسی (CSP) کراس سائٹ اسکرپٹنگ (XSS) کی کمزوریوں کو کم کرنے میں کس طرح مدد کر سکتی ہے؟
- کراس سائٹ درخواست جعل سازی (CSRF) کیا ہے اور حملہ آوروں کے ذریعہ اس کا فائدہ کیسے اٹھایا جا سکتا ہے؟
- کسی ویب ایپلیکیشن میں XSS کی کمزوری صارف کے ڈیٹا سے کیسے سمجھوتہ کرتی ہے؟
- ویب ایپلیکیشنز میں عام طور پر پائے جانے والے خطرات کی دو اہم کلاسیں کیا ہیں؟
مزید سوالات اور جوابات EITC/IS/WASF ویب ایپلیکیشنز سیکیورٹی کے بنیادی اصولوں میں دیکھیں