Username එක Type කරනවා.
Password එක Enter කරනවා.
Login Button එක Click කරනවා.
සාමාන්ය User කෙනෙක්ට මේක Login Form එකක්.
නමුත්…
Hacker කෙනෙක්ට මේක
Server එකට Command එකක් යවන්න පුළුවන් දොරටුවක්!
මේ තමයි
OWASP Top 10 (2026) – A05: Injection
—
Injection කියන්නේ මොකක්ද?
හැම Website එකක්ම User ගෙන් Input ලබාගන්නවා.
Search Box
Contact Form
Login Page
Product Search
Comment Box
මේ Inputs නිවැරදිව Validate නොකළොත්…
Hacker කෙනෙක් සාමාන්ය Text එකක් වෙනුවට
Malicious Command එකක්
යවන්න පුළුවන්.
Server එක ඒක Data එකක් කියලා හිතලා Execute කළොත්…
ඒකට කියන්නේ
Injection Attack එකක්.
—
සරල උදාහරණයක්
හිතන්න…
ඔබ Restaurant එකකට ගිහින්
“Burger එකක් දෙන්න”
කියනවා.
නමුත් Hacker කෙනෙක් Order එකත් එක්ක මෙහෙම කියනවා…
“Burger එකක් දෙන්න… Kitchen එකත් වහන්න!”
Waiter ඒ දෙකම Order එකක් කියලා කළොත්?
Restaurant එකත් නැති වෙයි!
Web Application එකකත් මේ දේම වෙනවා.
Application එක Data එකයි Command එකයි වෙන වෙනම හඳුනාගන්න බැරි වුණොත්…
Attack එක සාර්ථක වෙනවා.
—
Injection Attack එක සිදු වෙන්නේ කොහොමද?
Hacker Malicious Input එකක් Submit කරනවා.

Website එක Input එක Validate කරන්නේ නැහැ.

Database හෝ Server එක
Input එක Command එකක් ලෙස Execute කරනවා.

Sensitive Data Leak වෙනවා.

Website එක Hacker ගේ Control එකට යනවා.
—
Hackers ලාට මොනවා කරන්න පුළුවන්ද?
Database එකේ Data බලන්න.
Records වෙනස් කරන්න.
Data Delete කරන්න.
User Accounts Takeover කරන්න.
Administrator Access ලබාගන්න.
Server එකේ Commands Run කරන්න.
—
Real-World Impact
Injection Vulnerabilities නිසා…
Banking Systems Hack වෙලා තියෙනවා.
E-Commerce Websites වල Customer Data Leak වෙලා තියෙනවා.
Hospital Databases Expose වෙලා තියෙනවා.
Company Systems Compromise වෙලා තියෙනවා.
එකම Injection Bug එකක්…
මිලියන ගණනක Records Leak කරන්න ප්රමාණවත්.
—
Developers ලාට
Parameterized Queries (Prepared Statements) භාවිතා කරන්න.
හැම User Input එකක්ම Validate කරන්න.
Input Filtering සහ Output Encoding කරන්න.
Least Privilege Principle Follow කරන්න.
Web Application Firewall (WAF) භාවිතා කරන්න.
—
Organizations වලට
Regular Penetration Testing කරන්න.
Secure Code Reviews කරන්න.
Vulnerability Scanning Automate කරන්න.
Security Logs Monitor කරන්න.
Developers ලාට Secure Coding Training ලබාදෙන්න.
—
Users ලාට
Unknown Links වලින් Login කරන්න එපා.
Suspicious Websites වල Personal Information ඇතුළත් කරන්න එපා.
Browser සහ Apps Update කරගෙන යන්න.
Multi-Factor Authentication (MFA) Enable කරන්න.
—
මතක තියාගන්න…
Hackers ලා හැම වෙලාවෙම Password Crack කරන්නේ නැහැ.
සමහර වෙලාවට…
ඔබ Type කරන Input එකම
ඔවුන්ගේ Weapon එක වෙනවා.
ඒ නිසා…
Validate Every Input. Trust No User Data.
—
ඔබ භාවිතා කරන Websites සහ Apps ඔබේ Input එක Secure ලෙස Handle කරනවා කියලා ඔබට විශ්වාසද?
Akalanka Dambagolla
