18 lutego 2010

Cnn.com podatne na atak SQL Injection

czwartek, lutego 18, 2010 | Autor: \m/ojtek
Witryna cgi.money.cnn.com jest podatna na atak typu SQL Injection. Odpowiednie wstrzyknięcie kodu SQL pozwala intruzowi na wyciągnięcie z obsługującej witrynę bazy danych Oracle wielu istotnych informacji.

Następujące zapytanie pozwala na odkrycie dokładnej wersji systemu bazodanowego (Oracle9i Enterprise Edition Release 9.2.0.4.0 – Production):
To z kolei kilka przykładów wyciągnięcia informacji z samej bazy:
Podsumowując, przypomnijmy, że atak SQL Injection wykorzystuje lukę polegającą na niedostatecznym filtrowaniu zapytań SQL kierowanych do bazy danych. Wszystkie bazy danych są na taki atak w mniejszym lub większym stopniu podatne, zaś odpowiednia weryfikacja danych wejściowych jest praktycznie tylko i wyłącznie rolą programisty. Jak widać z powyższego przykładu, błędy tego typu nie są jednak wyłącznie domeną programistów początkujących...

[źródło]
Etykiety: , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.