19 грудня 2024 року відбулася чергова зустріч наукового гуртка кафедри компʼютерної інженерії та кібербезпеки «Application Security». До заходу долучилися студенти та викладачі, які обговорювали актуальні питання безпеки вебдодатків. Подія пройшла в атмосфері жвавих дискусій, спрямованих на глибше розуміння сучасних загроз у сфері кібербезпеки.
Головною подією зустрічі була доповідь на тему «SQL-ін’єкції». Студент групи КН-22-3 Прасол Нікіта представив ґрунтовну доповідь, у якій розкрив такі аспекти:
- Що таке SQL-ін’єкції та як вони працюють.
- Приклади атак і потенційні загрози, які вони становлять для безпеки даних.
- Методи захисту від SQL-ін’єкцій, зокрема впровадження параметризованих запитів та використання сучасних інструментів для аналізу вразливостей.
Під час виступу було розглянуто кілька лабораторних робіт, розроблених із використанням ресурсів компанії PortSwigger Ltd. Учасники отримали можливість ознайомитися з різними видами SQL-ін’єкцій. Особливу увагу привернули такі теми:
- Отримання прихованих даних через SQL-ін’єкції.
- Обхід логіну за допомогою SQL-ін’єкцій.
- Використання UNION-атак для отримання додаткової інформації з бази даних.
- Сліпа SQL-ін’єкція з умовними відповідями та часовими затримками, які демонструють складність подібних атак.
- Обхід фільтра через XML-кодування.
Доповідь супроводжувалася детальними поясненнями та прикладами, які дали змогу слухачам краще зрозуміти принципи роботи SQL-ін’єкцій і способи захисту від них.
Наприкінці зустрічі учасники обговорили приклади реальних атак, які траплялися, і обмінялися ідеями щодо покращення безпеки додатків.
Усіх запрошуємо долучитися до Telegram-каналу гуртка Application Security, де можна знайти актуальну інформацію про наступні зустрічі, навчальні матеріали і корисні посилання.
Кафедра комп’ютерної інженерії та кібербезпеки