Декабрь 19, 2019
29 просмотров
29 просмотров
Фундаментальная уязвимость обнаружена в MS SQL Server, MySQL и PostgreSQL
Разработчик популярного среди ИТ-администраторов программного средства SQLMap Бернардо Гаимараес говорит, что ему удалось обнаружить фундаментальную уязвимость в базах данных MS SQL Server, MySQL и PostreSQL, эксплуатация которой способна привести к получению контроля не только над самой базой данных, но и операционной системой, в которой эта БД работает.
Конкретные подробности своей находки Гаимараес намерен представить в середине апреля на ИТ-конференции Black Hat в Амстредаме. Сейчас исследователь говорит, что обнаруженная им уязвимость может быть задействована при проведении атаки типа SQL-инъекция.
SQL-инъекция или, говоря иначе, внедрение SQL-кода, на сегодня является одним из распространённых способов взлома сайтов и программ, работающих с базами данных. Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. В большинстве случаев атака типа внедрения SQL может быть возможна из-за некорректной обработки входящих данных, используемых в SQL-запросах.
Однако в случае разработки Гаимараеса одновременно с внедрением SQL-кода происходит также и переполнение буфера обмена базы данных, что позволяет провести дальнейшую атаку на операционную систему. Проведение атаки для SQL Server и для MySQL/PostgreSQL несколько различаются, но эффект в каждом случае один и тот же - полный захват контроля над сервером баз данных.
"Я использовал SQL-инъекцию только как одну из ступеней для достижения своей цели, которая заключалась в получении контроля над серверной операционной системой. Для подготовки к этой атаке была проведена большая работа, связанная с манипулированием и фильтрацией данных", - говорит он.
По его словам, предварительные данные показывают, что новой атаке подвержено "слишком много" сайтов, поэтому раскрывать данные о ней сейчас было бы чересчур опасно. По оценкам Гаимараеса, из всех сайтов, работающих на базе SQL Server/MySQL/PostgreSQL, примерно 10% подвержены данной атаке.
Сейчас для того, чтобы минимизировать угрозу атаки, эксперт рекомендует проверить безопасность веб-приложений, а также по возможности сократить число пользовательских записей, авторизовавшись по которым можно работать с базами данных.
Конкретные подробности своей находки Гаимараес намерен представить в середине апреля на ИТ-конференции Black Hat в Амстредаме. Сейчас исследователь говорит, что обнаруженная им уязвимость может быть задействована при проведении атаки типа SQL-инъекция.
SQL-инъекция или, говоря иначе, внедрение SQL-кода, на сегодня является одним из распространённых способов взлома сайтов и программ, работающих с базами данных. Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. В большинстве случаев атака типа внедрения SQL может быть возможна из-за некорректной обработки входящих данных, используемых в SQL-запросах.
Однако в случае разработки Гаимараеса одновременно с внедрением SQL-кода происходит также и переполнение буфера обмена базы данных, что позволяет провести дальнейшую атаку на операционную систему. Проведение атаки для SQL Server и для MySQL/PostgreSQL несколько различаются, но эффект в каждом случае один и тот же - полный захват контроля над сервером баз данных.
"Я использовал SQL-инъекцию только как одну из ступеней для достижения своей цели, которая заключалась в получении контроля над серверной операционной системой. Для подготовки к этой атаке была проведена большая работа, связанная с манипулированием и фильтрацией данных", - говорит он.
По его словам, предварительные данные показывают, что новой атаке подвержено "слишком много" сайтов, поэтому раскрывать данные о ней сейчас было бы чересчур опасно. По оценкам Гаимараеса, из всех сайтов, работающих на базе SQL Server/MySQL/PostgreSQL, примерно 10% подвержены данной атаке.
Сейчас для того, чтобы минимизировать угрозу атаки, эксперт рекомендует проверить безопасность веб-приложений, а также по возможности сократить число пользовательских записей, авторизовавшись по которым можно работать с базами данных.
29 просмотров
Статистика просмотров страницы:
- за прошлый месяц (Август 2025) - 1;
- за последние 3 месяца (Июнь 2025 - Август 2025) - 1;
- за последний год (Сентябрь 2024 - Август 2025) - 2;
Статьи и обзоры Все статьи
Теперь пользователи получают максимум технологий без переплат, что делает апгрейд ...
В статье разбираем, от чего зависит скорость зарядки смартфонов и ...
Узнайте, какие квесты в Ташкенте заинтересуют профессионалов в области IT ...
Разбираем структуру цены, скрытые расходы и реальные способы сэкономить при ...
Воскресенье, 21 Сентября 2025 Г.
USD: 12314.71
EUR: 14579.39
Товаров: 4373
Компаний: 2554
Компаний: 2554
Услуг: 49
Публикаций: 15110
Публикаций: 15110
1 491 700 сум
634 800 сум
271 000 сум
10 622 000 сум
11 610 000 сум
1 491 700 сум
10 622 000 сум
11 610 000 сум
634 800 сум
271 000 сум
6 900 000 сум
6 684 000 сум
6 528 000 сум
6 456 000 сум
5 808 000 сум
Новости
популярные новости
Статьи
популярные статьи