Декабрь 19, 2019
21 просмотр
21 просмотр
Фундаментальная уязвимость обнаружена в MS SQL Server, MySQL и PostgreSQL
Разработчик популярного среди ИТ-администраторов программного средства SQLMap Бернардо Гаимараес говорит, что ему удалось обнаружить фундаментальную уязвимость в базах данных MS SQL Server, MySQL и PostreSQL, эксплуатация которой способна привести к получению контроля не только над самой базой данных, но и операционной системой, в которой эта БД работает.
Конкретные подробности своей находки Гаимараес намерен представить в середине апреля на ИТ-конференции Black Hat в Амстредаме. Сейчас исследователь говорит, что обнаруженная им уязвимость может быть задействована при проведении атаки типа SQL-инъекция.
SQL-инъекция или, говоря иначе, внедрение SQL-кода, на сегодня является одним из распространённых способов взлома сайтов и программ, работающих с базами данных. Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. В большинстве случаев атака типа внедрения SQL может быть возможна из-за некорректной обработки входящих данных, используемых в SQL-запросах.
Однако в случае разработки Гаимараеса одновременно с внедрением SQL-кода происходит также и переполнение буфера обмена базы данных, что позволяет провести дальнейшую атаку на операционную систему. Проведение атаки для SQL Server и для MySQL/PostgreSQL несколько различаются, но эффект в каждом случае один и тот же - полный захват контроля над сервером баз данных.
"Я использовал SQL-инъекцию только как одну из ступеней для достижения своей цели, которая заключалась в получении контроля над серверной операционной системой. Для подготовки к этой атаке была проведена большая работа, связанная с манипулированием и фильтрацией данных", - говорит он.
По его словам, предварительные данные показывают, что новой атаке подвержено "слишком много" сайтов, поэтому раскрывать данные о ней сейчас было бы чересчур опасно. По оценкам Гаимараеса, из всех сайтов, работающих на базе SQL Server/MySQL/PostgreSQL, примерно 10% подвержены данной атаке.
Сейчас для того, чтобы минимизировать угрозу атаки, эксперт рекомендует проверить безопасность веб-приложений, а также по возможности сократить число пользовательских записей, авторизовавшись по которым можно работать с базами данных.
Конкретные подробности своей находки Гаимараес намерен представить в середине апреля на ИТ-конференции Black Hat в Амстредаме. Сейчас исследователь говорит, что обнаруженная им уязвимость может быть задействована при проведении атаки типа SQL-инъекция.
SQL-инъекция или, говоря иначе, внедрение SQL-кода, на сегодня является одним из распространённых способов взлома сайтов и программ, работающих с базами данных. Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере. В большинстве случаев атака типа внедрения SQL может быть возможна из-за некорректной обработки входящих данных, используемых в SQL-запросах.
Однако в случае разработки Гаимараеса одновременно с внедрением SQL-кода происходит также и переполнение буфера обмена базы данных, что позволяет провести дальнейшую атаку на операционную систему. Проведение атаки для SQL Server и для MySQL/PostgreSQL несколько различаются, но эффект в каждом случае один и тот же - полный захват контроля над сервером баз данных.
"Я использовал SQL-инъекцию только как одну из ступеней для достижения своей цели, которая заключалась в получении контроля над серверной операционной системой. Для подготовки к этой атаке была проведена большая работа, связанная с манипулированием и фильтрацией данных", - говорит он.
По его словам, предварительные данные показывают, что новой атаке подвержено "слишком много" сайтов, поэтому раскрывать данные о ней сейчас было бы чересчур опасно. По оценкам Гаимараеса, из всех сайтов, работающих на базе SQL Server/MySQL/PostgreSQL, примерно 10% подвержены данной атаке.
Сейчас для того, чтобы минимизировать угрозу атаки, эксперт рекомендует проверить безопасность веб-приложений, а также по возможности сократить число пользовательских записей, авторизовавшись по которым можно работать с базами данных.
21 просмотр
Статистика просмотров страницы:
- за прошлый месяц (Апрель 2024) - 1;
- за последние 3 месяца (Февраль 2024 - Апрель 2024) - 5;
- за последний год (Май 2023 - Апрель 2024) - 7;
Статьи и обзоры Все статьи
От регулировки высоты сидения до поддержки поясницы и массажных функций ...
Эти универсальные устройства идеально подходят для офиса и дома, обеспечивая ...
Статья рассказывает про важность тщательного выбора монитора для максимально производительной ...
Узнайте, как интерактивные панели стали незаменимым инструментом в современном бизнесе.
Пятница, 3 Мая 2024 Г.
USD: 12670.05
EUR: 13522.34
Товаров: 6755
Компаний: 2738
Компаний: 2738
Услуг: 69
Публикаций: 15009
Публикаций: 15009
634 800 сум
1 491 700 сум
271 000 сум
10 622 000 сум
11 610 000 сум
681 000 сум
7 999 000 сум
634 800 сум
1 491 700 сум
271 000 сум
По запросу
По запросу
По запросу
По запросу
По запросу
Новости
популярные новости
Статьи
популярные статьи