detecting-sql-injection-vulnerabilities
Skanuj kod aplikacji i znajdź luki bezpieczeństwa SQL injection przed atakiem
Instalacja
Wybierz klienta i sklonuj repozytorium do odpowiedniego katalogu skilli.
Instalacja
O skillu
Umiejętność do automatycznego wykrywania i analizy podatności SQL injection w kodzie źródłowym i zapytaniach bazodanowych. Skanuje aplikację w poszukiwaniu niebezpiecznych wzorców: konkatenacji stringów, interpolacji formatów i niedostatecznej parametryzacji w surowych zapytaniach SQL, metodach ORM i konstruktorach dynamicznych. Obsługuje popularne frameworki (Django, Rails, Express, Spring, Laravel, ASP.NET, Go) i bazy danych (MySQL, PostgreSQL, SQLite, MSSQL, Oracle). Generuje szczegółowe raporty z lokalizacją zagrożeń i rekomendacjami bezpiecznych wzorców.
Jak używać
Upewnij się, że kod źródłowy aplikacji jest dostępny w katalogu projektu oraz że masz dostęp do plików zapytań bazodanowych, modeli ORM i warstwy repozytoriów. Zidentyfikuj framework (Django, Rails, Express, Spring, Laravel, ASP.NET, Go) i typ bazy danych (MySQL, PostgreSQL, SQLite, MSSQL, Oracle), które Twoja aplikacja wykorzystuje.
Uruchom umiejętność, używając frazy aktywacyjnej takie jak "detect SQL injection", "scan for SQLi vulnerabilities", "review database queries" lub "check SQL security". Umiejętność automatycznie przeszuka kod w poszukiwaniu słów kluczowych SQL (SELECT, INSERT, UPDATE, DELETE, EXEC) i metod ORM (raw(), execute(), createNativeQuery()).
Umiejętność zmapuje wszystkie punkty wejścia danych kontrolowanych przez użytkownika: parametry HTTP, treść żądań, segmenty ścieżki URL, nagłówki, ciasteczka, przesyłane pliki i wiadomości WebSocket.
Przeanalizuj wyniki skanowania, które zidentyfikują niebezpieczne wzorce: konkatenację stringów w zapytaniach, interpolację formatów bez walidacji i brak parametryzacji. Umiejętność wskaże dokładne lokalizacje podatności w kodzie.
Przejrzyj rekomendacje dotyczące bezpiecznych wzorców zapytań: użycia prepared statements, parametryzowanych zapytań i walidacji wejścia. Raporty będą zapisane w katalogu security-reports/ w Twoim projekcie.
Wdrożyj sugerowane poprawki w kodzie, skupiając się na transformacji niebezpiecznych zapytań na parametryzowane wersje oraz dodaniu walidacji i sanityzacji danych wejściowych na wszystkich punktach wejścia.