Основы сетевой безопасности: учитесь на прошлых ошибках

Почти пять (5) лет назад червь SQL Slammer должен был заставить людей понять, что предоставление доступа к важнейшим ресурсам инфраструктуры через Интернет — крайне неудачная идея.

Однако не все учатся на ошибках прошлого. Совсем недавно несколько тысяч страниц в Интернете пострадали от атаки (предположительно) SQL Injection, что в результате поставило под угрозу личные данные сотен тысяч пользователей Интернета.
Самое ужасное заключается в том, что в руки злоумышленников могли попасть данные о кредитных картах, удостоверениях личностей и других важнейших документах пользователей, не имевших никакого отношения к этим страницам.
А сегодня мы узнали о новом «подпольном» инструменте - sqlmap:
sqlmap представляет собой инструмент автоматического выполнения несанкционированного кода SQL, полностью разработанный на Python.

Он способен проводить комплексный анализ систем управления базами данных, получать доступ к удаленным базам данных, именам пользователей, таблицам, столбцам, полному содержимому базы данных, а также считывать системные файлы и многую другую информацию, пользуясь прорехами в системах безопасности приложений для Интернета, открывающим возможности для принудительного выполнения несанкционированного кода SQL.
Это очень неприятная новость для многих сайтов, на которых операционные системы SQL по-прежнему доступны через Интернет.
По результатам предварительного анализа, инструмент SQL Injection ищет уязвимости в системах SQL на общедоступных страницах в Интернете.

При этом не требуется непосредственный доступ к серверу SQL; достаточно промежуточного интерфейса, например, формы CGI.

Опубликовано: 25 января 2008 г.

Ключевые слова: нет

Извините, комментариев пока нет