ACADEMIA FORȚELOR TERESTRE

„NICOLAE BĂLCESCU”

PROIECT DE STAGIU

TEMA:
„ANALIZA TIPOLOGIILOR ATACURILOR ASUPRA
SITE-URILOR WEB SI A BAZELOR DE DATE”

AUTOR
Sd. Cap.
Loredana-Cristina CEAMPELEA

-SIBIU, 2019-
 INTRODUCERE

Ca urmare a creșterii traficului, există un număr mare de atacuri care apar

pe site-uri. În prezentele scenarii ce se referă la traficul pe World Wide Web,
totul este conectat la Internet și toată lumea din industrie încearcă să reușeșească
a-și atinge succesul lor prin prezența puternică pe piața online. Atacul asupra
site-urilor web este în creștere, indiferent dacă este pentru distrugerea imaginii
concurentului sau pentru a hackui site-ul doar pentru distracție. Indiferent care
este motivul, în cele din urmă este vorba despre pierderea proprietarului site-
ului. Atacurile asupra site-urilor legate de afaceri sunt mult mai amenințătoare
decât pe site-urile personale, deoarece site-urile web de afaceri conțin toate
informațiile financiare despre industrie, detaliile angajaților și multe alte altele.
Aplicațiile web devin din ce în ce mai profesioniste și orientate spre afaceri în tot
mai multe domenii, de la social media la cumpărăturile online. Rezultatul unei
astfel de creșteri rapide a popularității site-ului web aduce atât imagini pozitive,
cât și negative. Efectele atacurilor nu sunt resimțite numai în timpul atacului, ci
și la ulterior, precum divulgarea identității, deturnarea informațiilor de date
sensibile și accesul neautorizat la informații. Prin urmare, în afară de rularea site-
ului, este importantă si sarcina de a proteja aplicațiile web și de a adopta metode
de securitate adecvate [1]
Deoarece reprezinta un atu important, datele sau informațiile sunt
componenta principală de care depinde orice organizatie. astfel, majoritatea si-au
automatizat acum sisteme de informații și alte funcții operaționale. Securitatea
bazelor de date este o preocupare serioasă ei deoarece contin elementul crucial -
informația. Aceasta dependența este atât de intensă încât succesul și eșecul
obiectivelor organizației se bazează pe calitatea și cantitatea de date. astfel,
organizațiile nu își pot permite să piardă date vitale. datele sunt stocate într-un
depozit numit baza de date [2] [3]. Datele stocate în bazele de date vor fi
structurate și în general stocate sub formă de tabele relaționale. Protejarea datelor
confidențiale stocaten într-un depozit este de fapt securitatea bazei de date.
Aceasta va asigura bazele de date de orice formă de acces ilegal sau amenințare
la orice nivel. Deoarece datele stocate în bazele de date pot fi critice, este
important să fie asigurate. Securitatea computerului întotdeauna abordează trei
aspecte importante ale sistemului computerizat și anume Confidențialitatea,

Pagina 2 din 13
integritatea și disponibilitatea. figura 1 mai jos arată proprietățile securității bazei
de date care sunt integritate, confidențialitate și disponibilitate [4] [5] [6]
FIGUR

CONFIDENTIALITATE INTEGRITATE DISPONIBILITATE

SECURITATEA
BAZELOR DE DATE

A 1. PROPRIETATILE SECURITATII BAZELOR DE DATE

Pagina 3 din 13
 CAPITOLUL 1. BAZE DE DATE
1. 1 Tehnici de securizare a bazelor de date

1.1.1. Securizarea bazelor de date folosind criptografia

Sesay și colab. a propus o schemă de criptare a bazei de date. In aceasta

schema, utilizatorii sunt împărțiți în două niveluri: Nivelul 1 (L1) și nivelul 2
(L2). Utilizatorii de nivel 1 au acces la propriile lor date criptate private și date
publice neclasificate, în timp ce utilizatorii de nivel 2 au acces la propriile lor
date private de asemenea, datele clasificate care sunt stocate într-o formă
criptată.
Liu și colab. a propus un nou mecanism de criptare a bazelor de date [7].
Mecanismul propus realizează o coloană-criptare care permite utilizatorilor să
clasifice datele în date sensibile și date publice. Această clasificare ajută la
selectarea pentru criptare doar a acelor date care sunt critice și lasă datele publice
neatinse reducând astfel povara criptarii și decriptarii întregii baze de date, ca
urmare performata nu este degradată. Schema bazei de date cu criptografie mixtă
[8] este prezentată de Kadhem și colab. Tehnica presupune proiectarea unui
cadru pentru criptarea baze de date din rețeaua nesecurizată într-o formă
diversificată care constă în deținerea mai multor chei de către diverse părți. În
cadru propus, datele sunt grupate în funcție de dreptul de proprietate și în alte
condiții [9].

1.1.2. Securizarea bazelor de date folosind stenografia

Das și colab. a explicat diverse tehnici în steganografie care pot fi

implementate pentru a ascunde datele critice și pentru a le preveni de la acces
direct neautorizat. Diferitele tehnici incluzand steganografia de imagini fixe,
steganografie audio, video steganografie, steganografie IP Datagram. Naseem et
Al. a prezentat o metodă care folosește stenografia pentru a ascunde datele. În
schema propusă, datele sunt încorporate în valorile pixelilor ale LSB.
Valorile pixelilor sunt clasificate în diferite intervale și în funcție de interval
este alocat unui anumit număr de biți ascunde datele sensibile. Kuo și colab. a
prezentat o altfel de abordare pentru a ascunde date. În această schemă imaginea
este împărțită în număr fix de blocuri. Histograma fiecărui bloc este calculat

Pagina 4 din 13
împreună cu punctele maxime și minime ale datei mascate. Acest mecanism
crește capacitatea de ascundere a datelor. [10]. Dey și colab. utilizează o
abordare diversă în a ascunde eficient datele sensibile prin imagini statice.
Tehnica presupune utilizarea numerelor prime și numere naturale pentru a
îmbunătăți numărul de biți pentru a acoperi datele din imagini.

1.1.3. Securizarea bazelor de date utilizand ,,access control"

Bertino și colab. explică o tehnică de autorizare a bazelor de date video. În
schema propusă, accesul la baza de date iar pentru un anumit flux al
videoclipului se acordă numai după verificarea acreditarii utilizatorului respectiv.
Credențialele nu poate fi doar id-ul de utilizator, ci pot fi caracteristicile care îl
definesc și numai după verificarea cu succes a acredităților, utilizatorului i se
acordă permisiunea de a accesa baza de date.
Kodali și colab. a prezentat un model de autorizare generalizat pentru
bibliotecile digitale multimedia. Schema implică integrarea celei mai frecvente și
utilizate pe scară largă control de acces mecanisme și anume: obligatorii,
discreționare și modele bazate pe rol într-un cadru unic pentru a permite accesul
unificat la datele protejate. Tehnica abordează, de asemenea, nevoia de date
media continue în timp ce susțin constrângerile QoS alături de păstrarea
semanticii operaționale. un model de autorizare este propus de Rizvi et al.
Tehnica explicată se bazează pe vizualizări de autorizare care activarea
interogării transparente a autorizației în care utilizatorul întrebările sunt formate
și reprezentate în termeni de bază de date relații și sunt acceptabile numai atunci
când întrebările pot fi verificate folosind informațiile conținute în regulile de
autorizare.

1.2. Amenintari de securitate a bazelor de date

1.2.1. Privilegii excesive si neutilizate
Când cineva primește privilegii de bază de date care depășesc cerințele
funcției lor de serviciu, se poate face abuz de aceste privilegii. De exemplu, un
angajat al băncii al cărui job necesită posibilitatea de a schimba doar informațiile
de contact ale posesorului contului poate profita de privilegiile excesive ale
bazelor de date și crește soldul contului din economiile unui coleg. Mai departe,
când cineva părăsește o organizație, de multe ori drepturile sale de acces la date
sensibile nu se modifică. Și, dacă acești lucrători pleacă în condiții proaste, își
pot folosi vechiile privilegii pentru a fura date de mare valoare sau de a provoca
Pagina 5 din 13
daune. Utilizatori sfârșesc cu privilegii excesive, deoarece controlul privilegiilor
mecanismelor pentru rolurile postului nu au fost bine definite. Drept urmare,
utilizatorilor li se poate acorda generice sau privilegii de acces implicite care
depășesc cu mult sarcina lor specifică cerințe. Acest lucru creează un risc inutil.

1.2.2. Abuz de privilegii

Utilizatorii vor abuza de privilegiile legitime ale bazei de date în scopuri

neautorizate. de exemplu, luand în considerare o aplicație internă de asistență
medicala utilizată pentru vizualizarea înregistrărilor individuale ale pacienților
printr-o interfață Web personalizată, Aplicația web limitează în mod normal
utilizatorii să vizualizeze istoricul asistenței medicale a pacienților in mod
simultan și nu sunt permise copii electronice. Cu toate acestea, un utilizator
necinstit s-ar putea să poată evita aceste restricții prin conectare la baza de date
folosind un client alternativ, cum ar fi MS-Excel. Utilizând Excel și datele de
autentificare autentice ale acestora, utilizatorul ar putea prelua și salva toate
înregistrările pacienților pe laptop.

1.2.3. Input injection

Există două tipuri majore de atacuri la baza de date: 1) ,,Injecție SQL'' care
vizează sisteme de baze de date tradiționale și 2) ,,Injecție NoSQL'' care vizează
platformele de tip Big Data. Atacurile de tip ,,injectie" SQL implică de obicei
introducerea (sau „injectarea”) unor daunatori in campurile de intrare din
aplicattiile web. Pe de altă parte, atacurile de tip ,,injecția" NoSQL implică
inserarea de declarații rău intenționate în componentele Big Data (de ex. Hive,
MapReduce etc.). Un Atac de injecție de succes de intrare poate oferi unui
atacator acces fără restricții la o întreagă bază de date. [11] [12]. Este important
de menționat că există concepții greșite despre Big Datele ca acestea sunt
impermeabile atacurilor SQL Injection. Aceste concepții greșite sunt, totusi,
parțial adevărate datorită faptului că Big Data nu utilizează tehnologiile bazate
pe SQL. Cu toate acestea, asemenea menționat anterior, componentele de bază
ale Big Data sunt încă sensibile la atacuri de injecție Input.

Pagina 6 din 13
 1.2.4. Malware

,,Cybercriminalii", hack-erii sposorizati de stat si spionii imbina multiple tactici

precum phising si malware-uri pentru a intra in organizatii si a putea accesa
anumite date. Nestiind ca malware-ul le-a infectat dispozitivul, unii utilizatori
devin poarta de acces pentru grupuri pentru a ajunge la retea si date sensibile.

1. 3 Consideratii privind securitatea bazelor de date

Pentru a elimina amenințările de securitate, in orice organizație trebuie definita și

o politică de securitate care trebuie aplicată cu strictețe. O politică de securitate
puternică trebuie să conțină caracteristici de securitate bine definite. Figura 2
prezintă câteva zone critice care trebuie să fie luate în considerare sunt explicate
mai jos [1] [3] [4].
/
C
F
-
D
U
A
I
T
O
N
P
S
E
R
B
L

FIGURA 2. zone critice luate in considerare

1.3.1. Control Acces

Controlul accesului asigura toate comuncatiile cu bazele de date si alte

sisteme care sunt in conformitate cu politica si controlul definite. Aceasta asigură
că nu nu apare interferența de niciun atacator nici intern, nici extern și astfel,
protejează bazele de date de potențiale erori care pot avea un impact la fel de
mare ca operatiunile de oprire firm. Controlul accesului ajută, de asemenea, la
Pagina 7 din 13
minimizarea riscurilor care pot afecta direct securitatea bazei de date pe servere
principale. De exemplu, dacă oricare tabel este șters sau accesul este modificat,
rezultatele pot fi pastrate pe bacu-up sau pentru anumite fisiere se poate
restricționa ștergerea acestora.

1.3.2. Identificarea/ autentificarea user-ului

Identificarea și autentificarea utilizatorului este necesitatea de bază asigura

securitatea, deoarece metoda de identificare definește un set de persoane cărora li
se permite accesul la date și furnizează un mecanism complet de accesibilitate.
Pentru a asigura securitatea, identitatea este autentificată și păstrează în siguranță
datele sensibile iar forma este modificată de orice utilizator obișnuit.

1.3.3. Responsabilitate si audit

Verificarea Responsabilitatii si auditului sunt necesare pentru verficarea

integritatii fizice a datelor care necesita accesul la bazele de date si care este
gestionat prin audit si pastrarea evidentei. de asemenea, ajuta si la analiza
informatiilor detinute pe servere pentru atentificare, contabilitate si acces la un
utilizator.

CAPITOLUL 2. SITE-URI WEB

2.1. Atacul asupra site-urilor
Pe tot parcursul anilor, Symantec a observat un număr mare de site-uri web
legitime care sunt compromise și redistribuite pentru a servi atacuri Web
vizitatorilor site-urilor lor care nu știu.
În mod obișnuit, încercările de instalare a programelor malware pe
computerul unui utilizator prin intermediul site-ului proveneau de obicei din
colțurile întunecate ale Internetului. Prin direcționarea site-urilor web care
promovează activități ilicite, cum ar fi materiale pentru adulți sau software
piratat, autorii de malware au știut ca ar putea găsi o ofertă abundentă de
utilizatori mai concentrați pe nevoile lor pe termen scurt decât pe evaluarea
prudentă a ceea ce era descarcat pe computerul lor.

Pagina 8 din 13
 Astăzi, autorii de malware caută ținte mai largi. Puține site-uri Web sunt
imune de a fi compromise și utilizate ca gazdă la livrarea malware vizitatorilor
lor neprevăzuți. Site-urile Web mainstream oferă o bază mare de utilizatori
pentru a fi vizați de către autori malware.
Poate mai semnificativ, aceștia oferă un set de utilizatori care sunt mai puțin
preocupați să fie victima unui malware atacă pentru că sunt de părere că, dacă
navighează doar pe site-uri web principale, vor fi în siguranță.

2.1.1. Tipuri de atac – Injectia SQL

Astăzi, multe site-uri Web, în special mai mari site-uri web cu trafic ridicat,
servesc conținut care este construit dinamic din informații deținute în baze de
date. Pe măsură ce utilizatorii interacționează cu astfel de site-uri, informațiile
sunt citite și scrise în baza de date. Drept urmare, sarcina securizarii site-ului
Web trebuie să se extindă la bazele de date, ca atare, și datele care sunt stocate în
ele.
Un tip popular de atac implică compromiterea utilizării bazei de date
tehnică cunoscută sub numele de injecție SQL. Această tehnică funcționează
găsind defecte ale site-urilor web care au baze de date care se află în spatele lor.
In multe dintre cazurile unui câmp de intrare prost validat într-un formular de
introducere Web (de exemplu, o autentificare) un formular sau un formular de
interogare a contului va permite unui atacator să insereze (sau injecteze)
instrucțiuni SQL suplimentare care pot fi apoi transmise directîn baza de date
backend. Cu unele probe și erori, aceasta tehnica oferă atacatorilor aspectul bazei
de date și având în vedere aceste date, ele pot adăuga propriul conținut rău
intenționat pentru a fi ulterior servit până la utilizatorii neprosperați ai site-ului
compromis. De obicei, acest conținut adăugat conține legături ascunse către un
site Web rău intenționat care a fost deja configurat pentru a servi atacuri malware
împotriva celor neobservători computerul utilizatorului care utilizează o varietate
de exploatări bazate pe browser.
Atacul automat testează continuu site-urile Web succesive până când
găsește unul cu un câmp de intrare vulnerabil și apoi introduce un rău intenționat
Cod HTML direct în baza de date. În mod obișnuit, acest cod HTML rău
intenționat se prezintă sub formă de etichete HTML precum IFRAMES, care
indică cod de script rău sau pagini rău intenționate. IFRAMES sunt etichete
HTML care face posibilă încorporarea unei pagini HTML în alta Pagina HTML

Pagina 9 din 13
 CONCLUZII

Bazele de date constituie coloana vertebrală a multor aplicații astăzi.

Datele pentru orice organizație sunt proprietatea cea mai valoroasă. Securitate a
datelor sensibile este întotdeauna o mare provocare pentru o organizație la orice
nivel. Ele sunt forma principală de depozitare pentru mulți organizații. În lumea
tehnologică de astăzi, baza de date este vulnerabile la gazdele de atacuri, de aici
și atacurile asupra bazelor de date cresc și ele, deoarece sunt o formă de atac
foarte periculoasă. Acestea dezvăluie date cheie sau importante pentru atacator.
Variat atacurile asupra bazelor de date sunt discutate în această lucrare. Această
cercetare va duce la o soluție mai concretă pentru problema securității bazei de
date.
Internetul continuă să devină mai complex și peisajul amenințărilor
continuă să se schimbe. Enduserii și managerii IT trebuie să fie vigilenți în a se
proteja. Navigarea pe internet cu tehnologia tradițională de ieri bazată pe
semnătura antivirus sau fără protecție la toate, duce rapid la sisteme compromise
cu infecții malware grave. Multe dintre amenințări nu pot fi oprite numai de
tehnologii bazate pe semnal antivirus numai.
De la descărcări ascendente prin care alunecă în mod silențios malware pe
sistemul, la reclame publicitare redirecționează către produse antivirus false care
incearca sa fure bani, Web-ul poate fi umplut cu amenințări necunoscute. Astfel,
Strategia de protecție împotriva amenințărilor ar trebui să evolueze în continuare

Pagina 10 din 13
 BIBLIOGRAFIE

[1] comparative analysis of anomaly based web attack detection methods, achin jain, vanita
jain International Journal on Cybernetics & Informatics (IJCI) Vol. 4, No. 6, December 2015,
pag 13
[2] Mr. Saurabh Kulkarni, Dr. Siddhaling Urolagin, “Review of Attacks on Databases and
Database Security Techniques”, International Journal of Emerging Technology and Advanced
Engineering, ISSN 2250-2459, Volume 2, Issue 11, November 2012.
[3] Emil Burtescu, “DATABASE SECURITY - ATTACKS AND CONTROL METHODS”,
Journal of Applied Quantitative Methods, Vol. 4, no. 4, Winter 2009.
[4] Mr. Saurabh Kulkarni, Dr. Siddhaling Urolagin, “Review of Attacks on Databases and
Database Security Techniques”, International Journal of Emerging Technology and Advanced
Engineering, ISSN 2250-2459, Volume 2, Issue 11, November 2012.
[5] Emil Burtescu, “DATABASE SECURITY - ATTACKS AND CONTROL METHODS”,
Journal of Applied Quantitative Methods, Vol. 4, no. 4, Winter 2009.
[6] Ahmad Baraani-Dastjerdi; Josef Pieprzyk; Baraanidastjerdi Josef Pieprzyk ; Reihaned
SafaviNaini, Security In Databases: A Survey Study, 1996
[7] Tanya Bacca; Making Database Security an IT Security Priority A SANS Whitepaper –
November 2009
[8] Kadhem, H.; Amagasa, T.;Kitagawa, H.; A Novel Framework for Database Security based
on Mixed Cryptography; Internet and Web Applications and Services, 2009. ICIW '09. Fourth
International Conference on; Publication Year: 2009, Page(s): 163 –170
[9] Iqra Basharat, Farooque Azam, Abdul Wahab Muzaffar,”Database Security and
Encryption: A Survey Study”, International Journal of Computer Applications (0975 – 888)
Volume 47– No.12, June 2012
[10] Amichai Shulman; Top Ten Database Security Threats, How to Mitigate the Most
Significant Database Vulnerabilities, 2006 White Paper
[11] E. Anupriya, Sachin Soni, Amit Agnihotri, Sourabh Babelay, “Encryption using XOR
based Extended Key for Information Security – A Novel Approach”, International Journal on
Computer Science and Engineering (IJCSE), vol. 3, issue 1, Jan. 2011, pp. 146-154
[12] Ahmad Baraani-Dastjerdi; Josef Pieprzyk; Baraani- dastjerdi Josef Pieprzyk ;
ReihanedSafaviNaini, Security In Databases: A Survey Study, 1996
[13] Kadhem, H.; Amagasa, T.;Kitagawa, H.; A Novel Framework for Database
Security based on Mixed Cryptography; Internet and Web Applications and
Services, 2009. ICIW '09. Fourth International Conference on; Publication Year:
2009, Page(s): 163 –170
[14] Khaleel Ahmad; Jayant Shekhar; Nitesh Kumar; K.P. Yadav; Policy Levels
Concerning Database Security;

Pagina 11 din 13
[15] International Journal of Computer Science & Emerging Technologies (E-
ISSN: 2044-6004) 368 Volume 2, Issue 3, June 2011, page(s); 368-372.

Pagina 12 din 13