В настоящее время обучение практическим навыкам кибербезопасности, таким как поиск уязвимостей ПО, анализ сетевого трафика и администрирование ОС, является важным этапом подготовки специалистов по информационной безопасности. Информационная инфраструктура современных организаций зачастую сложна, и различные компоненты могут быть неочевидно взаимосвязаны [1]. Поэтому именно практические навыки могут сыграть решающую роль в предотвращении и быстром устранении инцидентов в области ИБ.

Одной из самых распространенных уязвимостей является SQL-инъекция – уязвимость, которая позволяет злоумышленнику выполнять произвольный запрос к базе данных, манипулируя самим запросом, с целью завладения необходимой информацией. Таким образом, злоумышленник может получить доступ к конфиденциальной информации и даже закрепиться в информационной системе, получив контроль над сервером.

Статья посвящена анализу механизмов эксплуатации SQL-инъекций и методов устранения их последствий на примере киберполигона Ampire.

Рассмотрены сценарии использования различных типов SQL-инъекций (классическая, UNION-based, Blind SQL), методы автоматизированных атак с использованием инструментов, таких как sqlmap, и практические подходы к устранению уязвимостей. Цель работы – выработать базовые рекомендации по написанию защищенного кода с использованием параметризованных запросов и современных фреймворков.

Киберполигон Ampire – платформа от компании «Перспективный мониторинг», которая служит для проведения киберучений с целью отработки навыков кибербезопасности. КемГУ является одним из пользователей этой платформы, обучая студентов навыкам защиты информации от внешних и внутренних угроз.

Особое внимание уделено образовательной ценности киберполигона для подготовки специалистов в условиях, приближенных к реальным, что способствует снижению рисков, связанных с уязвимостями веб-приложений.

1.??Рейн Т.С., Торгулькин В.В. Основы информационной безопасности: учебное пособие. – Кемерово: КемГУ, 2024. – 117 с. – ISBN 978-5-8353-3270-0.

2.??Киберполигон Ampire: сайт. – URL: https://amonitoring.ru/ampire-po/ (дата обращения: 30.11.2025).

3.??Болотов А.К. Варианты реализации SQL-инъекций в веб-приложениях // Фундаментальные и прикладные исследования в информатике и цифровизации: материалы симпозиума XVIII (L) Международной научной конференции студентов, аспирантов и молодых ученых, приуроченной к 50-летию КемГУ, Кемерово, 26 апреля 2023 г. Вып. 24. – Кемерово, 2023. – С. 122–124. – EDN DROXCD.

4.??Болотов А.К. Методика выполнения и противодействия SQL-инъекции на WEB-портал на киберполигоне Ampire // Фундаментальные и прикладные исследования в информатике и цифровизации: материалы симпозиума XIX (LI) Международной научной конференции студентов, аспирантов и молодых ученых, Кемерово, 25 апреля 2024 г. Вып. 25. – Кемерово, 2024. – С. 85–88. – EDN EUJDGA.

5.??Лапонина О.Р., Матошенко В.А. Сравнительный анализ CTF-платформ для обучения кибербезопасности // International Journal of Open Information Technologies. – 2022. – Vol. 10 (4). – URL: https://cyberleninka.ru/article/n/ sravnitelnyy-analiz-ctf-platform-dlya-obucheniya-kiberbezopasnosti (дата обращения: 30.11.2025).

6.??SQL injection teaching based on SQLi-labs / C. Ping, W. Jinshuang, Y. Lanjuan, P. Lin // 2020 IEEE 3rd International Conference on Information Systems and Computer Aided Education (ICISCAE), Dalian, China, – IEEE, 2020. – P. 191–195. – DOI: 10.1109/ICISCAE51034.2020.9236904.

7.??Sommervoll Å.Å., Erdodi L., Zennaro F.M. Simulating all archetypes of SQL injection vulnerability exploitation using reinforcement learning agents // International Journal of Information Security. – 2024. – Vol. 23 (1). – P. 225–246.