Il futuro del business inizia con gli sviluppatori

Scopri di più
Azienda Il team dietro esperienze online migliori Mappa di rete Una nuova architettura per l'Internet moderno Relazioni con gli analisti del settore Scopri cosa dicono gli analisti di settore su Fastly Notizie Aggiornamenti e annunci recenti Piattaforma La piattaforma per esperienze digitali migliori, più veloci e più sicure Storie dei nostri clienti Scopri come hanno avuto successo i migliori siti web Eventi Connettiti con Fastly durante un evento Lavora con noi Unisciti al team che sta costruendo un internet migliore

Piattaforma edge cloud di Fastly

Vedi tutti i prodotti
Distribuzione dei contenuti (CDN) Offri esperienze rapide e personalizzate a livello mondiale Streaming live Offri esperienze di live streaming senza interruzioni Streaming Video (VoD) Offri esperienze video on-demand eccezionali Media Shield Ottimizza le distribuzioni multi-CDN On-the-Fly Packager Crea pacchetti dinamici di contenuti video on demand in tempo reale Image Optimizer Elaborazione rapida delle immagini sull'edge Bilanciatore del carico Controllo granulare sulle decisioni di routing Crittografia TLS Riduci la complessità della gestione TLS Origin Connect Connettiti direttamente a Fastly Indirizzi IP Gestisci facilmente gli indirizzi IP HTTP/3 e QUIC Protocolli moderni API di ricerca dei domini Ricerca immediata e accurata dei nomi di dominio Object Storage Get direct access to large files at the edge with zero egress fees
Next-Gen WAF Modern web app and API security, anywhere Gestione dei bot Rilevare e mitigare gli attacchi dei bot Protezione DDoS Mitigazione automatizzata degli attacchi dirompenti e distribuiti Sicurezza delle API Proteggi i tuoi endpoint API Protezione lato client Difesa dagli attacchi lato client Gestione dei bot IA Impedisci ai bot IA di estrarre i contenuti dei siti web
Edge Compute Porta le tue app a livello edge: la nostra piattaforma istantanea ti aiuta a creare esperienze straordinarie per i tuoi utenti Key Value Store Il Key Value Store più veloce che puoi ottenere, con la stessa facilità di utilizzo degli strumenti di database che conosci bene WebSockets e Fanout Messaggistica in tempo reale distribuita su scala globale, con personalizzazione completa e configurazione semplice. Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Enterprise Serverless La piattaforma serverless più potente, basata su standard aperti e integrata con la suite completa di prodotti Fastly IA Accelera i tuoi carichi di lavoro di IA e migliora l'efficienza con la cache semantica Object Storage Get direct access to large files at the edge with zero egress fees Cache programmabile Ottieni l'accesso programmabile completo alla stessa leggendaria cache che alimenta la nostra CDN. Server MCP Controllo potenziato dall'IA per i tuoi servizi Fastly.
Logging in tempo reale Trasmetti e analizza i log in tempo reale Edge Observer Esplora i dati sul traffico in tempo reale e storici Domain Inspector Valuta le informazioni a livello di dominio Origin Inspector Visualizza informazioni complete dall'origine all'edge Avvisi Crea notifiche per le metriche relative al servizio Log Explorer & Insights Interagisci con informazioni utili

Servizi straordinari per risultati eccezionali

Vedi tutti i servizi
Servizi professionali Assistenza specializzata per migrare o ottimizzare il tuo servizio di distribuzione Servizi di intrattenimento dal vivo Esperienze di live streaming con scalabilità per il tuo pubblico Piani di supporto Assistenza di prima classe dall'inizio alla fine Managed CDN Controllo e flessibilità ottimizzati Managed Security Protezione delle applicazioni web gestita con competenza Assistenza clienti Il supporto di Fastly ti aiuta a crescere meglio, insieme

Soluzioni digitali innovative

Scopri tutte le nostre soluzioni
Streaming media Offri live streaming e on-demand eccezionale Media emergenti Prestazioni elevate per i brand multimediali emergenti Editoria digitale Giornalismo in tempo reale con esperienze di lettura migliorate e-commerce Esperienze rapide e personalizzate su larga scala Servizi finanziari Sicurezza integrata per proteggere i dati dei clienti High tech Scala istantaneamente le tue prestazioni man mano che cresci Viaggi e ospitalità Esperienze online personalizzate per i tuoi ospiti e visitatori Istruzione online Offri esperienze di apprendimento sicure su larga scala Gaming Sostieni la prossima vittoria dei tuoi player con download di giochi ultra veloci e sicuri iGaming Offri un'esperienza di gioco veloce, sicura, senza interruzioni e coinvolgente a livello di edge
Risparmi sulle infrastrutture Ottieni una spesa cloud inferiore e più prevedibile Ottimizzazione multi-cloud Riduci la complessità e unifica le risorse cloud Fiducia dei clienti Scopri di più sulle iniziative di Fastly per la fiducia dei clienti Abilitazione della privacy Scopri come proteggere i dati dei tuoi utenti Dashboard di sostenibilità Consulta il tuo consumo di elettricità e le emissioni di gas serra per la piattaforma Fastly

Consentiamo a ogni sviluppatore di costruire esperienze incredibili

Prova Fastly gratis
Sviluppatori Costruisci qualcosa di straordinario oggi Fast Forward Creare un Internet più affidabile Strumenti di sviluppo Strumenti di sviluppo pensati per i team - con un edge in più Developer SDK Programma gli stessi servizi che utilizziamo per costruire i prodotti Fastly Comunità Unisciti agli sviluppatori di tutto il mondo Registrati Crea un account sviluppatore gratuito

Contribuisci a creare una rete Internet veloce, sicura e coinvolgente con Fastly

Perché collaborare con Fastly Aiutaci a offrire esperienze sicure, veloci e coinvolgenti Cloud Partner Scopri i vantaggi di combinare Fastly con i tuoi servizi cloud Channel Partner Migliora le tue offerte e capacità con i prodotti Fastly Partner tecnologici e di integrazione Esplora il nostro ecosistema di partner
Accesso al portale partner Accedi a tutte le tue risorse partner di Fastly Diventa un partner Migliora la tua attività rivendendo o consigliando i prodotti Fastly Trova un partner Lascia che ti aiutiamo a trovare il partner giusto per le tue esigenze

Chiedi aiuto con Fastly

Documentazione Ottieni il massimo da Fastly Libreria delle risorse Esplora schede dati, report e altro ancora Fastly Academy Apprendimento pratico con i prodotti Fastly Centro di apprendimento Scopri la tecnologia Internet Blog I nostri ultimi pensieri e idee Ricerca sulla sicurezza Maggiore sicurezza grazie alla ricerca Il punto di vista di Fastly Esplora approfondimenti di esperti e del settore
Centro di Supporto Come possiamo aiutarti? Contattaci Contattaci oggi
Back to learning center

Che cos’è la SQL injection?

L’iniezione SQL è la tecnica che consiste nell’inserire comandi SQL completi o "partial" nei campi dati forniti dall’utente delle applicazioni web e nell’inviarli per l’esecuzione da parte del server di database. 

Per dirla più semplicemente, l'SQL injection si verifica quando un attore dannoso riesce a iniettare codice dannoso in un'applicazione a causa di codice scritto male nell'applicazione.

Come funziona un attacco injection?

Le aziende usano campi come moduli di contatto, moduli di feedback, moduli di checkout e barre di ricerca per interagire con l'utente del sito web. Questi campi consentono all'utente di inviare legittimamente informazioni al database dell'azienda e di recuperarle. Questa “linea aperta” tra utente e database è soggetta a SQL injection.

Se il campo è codificato in modo errato, un hacker può usarlo per inserire comandi SQL dannosi. Il codice iniettato può indurre il database a eseguire i comandi dell’hacker, che possono estrarre informazioni private e modificare o danneggiare le tabelle del database. Il contenuto dinamico, così come i campi, è soggetto a SQL injection.

Quali passaggi compie un hacker in un attacco injection?

  1. L’hacker inserisce un comando SQL manipolato nel campo del modulo

  2. Un database non sicuro considera valida questa query

  3. L'hacker riceve una risposta dal database contenente informazioni sensibili

  4. L'hacker ottiene informazioni (come il nome della tabella) per comprendere la struttura del database

  5. L’hacker modifica i dati nel database in modo dannoso

Tipi di SQL injection

Esistono tre categorie di SQL injection:

SQL injection (SQLi) inferenziale (blind)

In un attacco SQL blind, l'hacker invia dati al server e ne osserva il comportamento in risposta. L’hacker può raccogliere informazioni in base alla risposta del database alle richiesta/prompt degli hacker e dedurre informazioni critiche sul database. Con un'osservazione sufficiente, l'hacker è in grado di farsi un quadro del database e di come è costruito, contribuendo a capire come sfruttare l'exploit al meglio. Questo tipo di injection è “bind” perché l’hacker non è in grado di vedere effettivamente all’interno del database. 

SQL injection in-band

Conosciuto anche come SQL injection classica, in un attacco injection SQL in-band, l’hacker ottiene il risultato nello stesso “canale” in cui ha lanciato l’attacco. Ad esempio, supponiamo che un hacker esegua un'iniezione SQL su un browser web; l'hacker riceverà i risultati di quell'attacco nella stessa posizione (il browser web). 

SQL injection out-of-band

In un attacco SQL injection out-of-band, l'hacker non ottiene il proprio risultato (risposta) dall'applicazione sotto attacco sullo stesso «canale» del proprio attacco. L'attacco invece forza l'applicazione a inviare dati a un endpoint remoto. Questo endpoint è sotto il controllo dell’hacker, consentendogli così di accedere alla risposta dell’applicazione. 

Esempio di SQL injection

Quando un utente invia le credenziali in una pagina di accesso, l’applicazione web le utilizza in una query SQL che viene inviata al database per l’esecuzione. Se il nome utente e la password inviati sono validi, l'utente ottiene l'accesso. Supponendo che il nome utente sia ‘user1’ e la password sia ‘pass123’, l’applicazione web invia al database la seguente query SQL per la verifica:

SELECT * FROM utente WHERE name = 'user1' AND password = 'pass123'

Invece di usare un nome utente valido, un hacker inserisce “test’ OR “1 = 1–” come nome utente e qualsiasi cosa come password. Questa query SQL arbitraria restituirà un valore vero. La query arbitraria si presenta così:

SELECT * FROM Users WHERE name = 'test' OR 1 = 1 --' AND password = 'xxxxx'

Dopo aver inserito la query, l'hacker ottiene l'accesso a una sessione con accesso effettuato senza password. L'hacker ruba quindi dati o manipola i database del sito web. 

Come prevenire gli attacchi SQL

Un hacker che ottiene l’accesso amministrativo a un database rappresenta un breach della sicurezza estremo che l’SQL injection rende possibile. Attraverso questo tipo di attacco, un hacker può modificare o eliminare parti dell'intero database. L'hacker può anche lanciare attacchi da un server compromesso e accedere alle informazioni riservate archiviate nel database. È possibile prevenire questa grave minaccia alla sicurezza codificando correttamente i campi e aggiornando il software del server con le patch più recenti.

Strumenti come il Next-Gen WAF di Fastly, con il suo motore di rilevamento proprietario, SmartParse, prendono decisioni istantanee in linea per determinare se sono presenti payload dannosi o anomali. SmartParse elimina la necessità di usare regex e di una configurazione manuale intensiva. 

Puoi saperne di più su come prevenire gli attacchi SQL injection e altri attacchi OWASP Top 10 con Fastly qui

Scopri di più sulle funzionalità di sicurezza di Fastly

Scopri di più


Pronto per iniziare?

Contattaci oggi
Parla con un esperto