Разработчик популярного среди ИТ-администраторов программного средства SQLMap Бернардо Дамеле (Bernardo Damele A. G.) говорит, что ему удалось обнаружить уязвимости в базах данных MS SQL Server, MySQL и PostreSQL. Эти уязвимости способны привести к захвату контроля не только над самой базой данных, но и над операционной системой, в этой эта БД работает.
Конкретные подробности своих находок Бернандо намерен представить в середине апреля на ИТ-конференции Black Hat в Амстердаме. Сейчас исследователь говорит, что обнаруженные им уязвимости могут быть задействованы при проведении атаки типа SQL-инъекция.
SQL-инъекция или, говоря иначе внедрение SQL-кода, на сегодня является одним из распространённых способов взлома сайтов и программ, работающих с базами данных. Способ основан на внедрении в запрос произвольного SQL-кода. Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.
"Я использовал SQL-инъекцию только как одну из ступеней для достижения своей цели, которая заключалась в получении контроля над серверной операционной системой. Для подготовки к этой атаке была проведена большая работа, связанная с манипулированием и фильтрацией данных", - говорит он.
По его словам, предварительные данные показывают, что новой атаке подвержены "слишком много" сайтов, поэтому раскрывать данные о ней сейчас было бы чересчур опасно. По оценкам Бернардо Дамеле, из всех сайтов, работающих на базе SQL Server/MySQL/PostgreSQL, примерно 10% подвержены данной атаке.
Сейчас для того, чтобы минимизировать угрозу атаки эксперт рекомендует проверить безопасность веб-приложений, а также по возможности сократить число пользовательских записей, авторизовавшись по которым, можно работать с базами данных.
CyberSecurity.ru
06.04.09 12:04 | Раздел: Интернет технологии
http://imrdsoacha.gov.co/silvitra-120mg-qrms