A Security Comparison of Oracle, SQL Server and MySQL Database Management Systems against SQL Injection Attack Vulnerabilities

Abstract

Bu tez, saldırganlar tarafından kullanılan geçerli SQLi (SQL Injection) saldırı tekniklerini tanımlamaya, üç büyük Database Yönetim Sistemleri'ni SQLi saldırılarına karşı davranışlarına göre incelemeye ve karşılaştırmaya odaklanmaktadır. Odaklanılan Database Yönetim Sistemleri Oracle, SQL Server ve MySQL'dir. Dahası, SQLi saldırılarından kurtulmak için bazı bilgiler sunulmuştur. SQLi, saldırganlar tarafından veri çalmak veya kuruluşların veri dosyaları ve veri tabanlarında çeşitli zararlı eylemler gerçekleştirmek için yaygın olarak kullanılan bir enjeksiyon yöntemidir. Bu tez kapsamında yapılan literatür araştırmaları, Oracle, SQL Server ve MySQL güvenlik araçlarına odaklanmıştır. Daha sonra, literatür araştırmaları perspektifinde, saldırılara verdikleri tepkileri anlamak amacıyla veri tabanlarına bazı SQLi test saldırılar uygulanmıştır. SQLi test saldırılarını, sonuçların sınıflandırılması amacıyla türlerine göre test saldırılardan önce sınıflandırdık. Saldırıların parametreleri tablolarda sunulmuştur. SQLi saldırılarının, iyi tasarlanmamış kodların güvenlik açıklıklarından faydalandığı sonucuna varılmıştır. SQLi saldırılarına karşı korunma hakkında bazı önerilerde bulunulmuştur. SQLi saldırılarının tespit edilmesi, kaydedilmesi ve engellenmesi konularında bir öneri fonksiyon geliştirilmiştir. Ayrıca, eğer saldırı yüksek derecede tehlikeliyse (bu sistem yöneticisi tarafından tanımlanır), önerilen fonksiyon sistem yöneticisini uyarır.

This thesis focuses on identifying current SQL Injection (SQLi) attack techniques used by attackers, studying and comparing three major Database Management Systems (DBMSs) with respect to their behavior against SQLi attacks. The considered DBMSs are Oracle, SQL Server and MySQL. Moreover, some guidelines were included for evading SQLi attacks. SQLi is an injection method that is commonly used by the attackers for stealing data or performing various harmful actions on data files and databases of organizations. The literature research was focused on security tools of Oracle, SQL Server, and MySQL. Later, in the perspective of the literature researches, some SQLi test attacks have been applied on the databases to understand their reactions to the attacks. SQLi attacks have been categorized according to their types for classification of the results. The parameters of the attack have been presented as tables. The research has concluded that SQLi attacks use poor codes' vulnerabilities. Some suggestions about protection from SQLi attacks have been proposed in the frame of this research. After all the test and inferences from the test results on the databases, a function has been developed and proposed which is about detecting, recording, blocking of SQLi attacks. Moreover, if the attack is dangerous as high degree (defined by the system administrator), the function can warn the system administrator.