it-swarm-eu.dev

Come posso spiegare l'iniezione di SQL senza gergo tecnico?

Devo spiegare l'iniezione SQL a qualcuno senza formazione tecnica o esperienza. Puoi suggerire qualche approccio che ha funzionato bene?

549
torayeff

Iniezione SQL è dove un utente malintenzionato sta cercando di ottenere informazioni da un sito Web a cui non è autorizzato l'accesso.

È come interrogare un'altra persona, in cui l'interrogatore è l'utente malintenzionato e la persona interrogata è il sito Web.

Le cose che l'interrogatore potrebbe fare sono:

  • Ricerca sullo sfondo della persona per trovare un punto debole
  • Usa varie tecniche conosciute che hanno lavorato in passato su altre persone
  • Trova nuove tecniche da utilizzare

Alcuni punti deboli della persona interrogata possono essere:

  • La formazione della persona
  • L'intelligenza della persona
  • La famiglia della persona
  • Il tipo di persona che sono

Le cose da notare sono che ci sono interrogatori migliori di altri e alcune persone parleranno subito mentre altri potrebbero non farlo mai.

3
ponsfonze

Spiegare bene con un'analogia tecnica va bene, ma sembrerei un po 'lungo e zoppo.

Spiegherei solo che si tratta di rigorose pratiche burocratiche o requisiti per limitare gli abusi nelle amministrazioni e nelle finanze.

Se è fatto in modo abbastanza rigoroso, hai meno pesci malvagi in grado di passare attraverso la rete.

Userei un semplice disegno con un pseudo codice molto semplice con scatole e frecce, e spiegherei i robot e l'analogia delle scatole.

2
jokoon

Il mio approccio per un non tecnico:

Supponiamo che tu stia lavorando in un grande edificio per uffici. Ogni impiegato ha una propria chiave per il proprio ufficio (= query SQL che il programmatore voleva eseguire). Ora qualcuno prende un file ago e modifica un po 'la sua chiave, cioè rimuovendo un pin (= SQL-Injection, cambiando la query SQL). Questa chiave modificata può aprire diverse (o forse tutte le porte). Quindi l'impiegato ha accesso a più o tutti gli uffici all'interno di questa casa e può leggere/modificare documenti da altri uffici.

Probabilmente tutti sono abituati a usare chiavi e blocchi, quindi dovrebbe essere facile da capire e dal mio punto di vista è una buona analogia con un'iniezione SQL.

1
qbi