SQL-децимация?
04.04.2009

Каждый десятый сайт беззащитен перед атакой "внедрение SQL-кода" следующего поколения.

Результаты исследования, которые в апреле будут представлены на конференции хакеров в Амстердаме, показывают, что внедрение SQL-кода (SQL-инъекция) позволяет внедрить в атакуемую систему весьма серьезные эксплоиты и дать хакеру неограниченный доступ к базе данных сайта и к операционной системе в целом.

Исследователь Bernardo Damele Assumpcao Guimaraes утверждает, что изученный им способ нападения опасен для трех наиболее популярных баз данных: MySQL, PostgreSQL и Microsoft SQL Server.

Внедрение SQL-кода является результатом сбоя обработки введенного пользователем текста в строках поиска и других полях на страницах сайта. Хакер может использовать эту ошибку для доступа к конфиденциально информации, вводя SQL-команды, которые будут обрабатываться СУБД сайта.

За последние 5 лет через SQL-инъекции были взломаны весьма важные ресурсы, включая сайты посольств, банков и служб безопасности. Сейчас найдена основа для новых способов внедрения, которые могут быть еще более разрушительны.

Первый способ основан на переполнении буфера. Автор исследовании утверждает, что этот способ позволял полностью захватить управление Microsoft SQL Server до тех пор, пока в феврале Microsoft не исправила эту уязвимость.

Второй способ позволяет через SQL-инъекцию обмануть командную оболочку серверов, работающих под управлением MySQL и PostgreSQL.

Автор пояснил, что целью атаки является операционная система, а не только набор данных в базе.

Поиск средств противодействия новым способам SQL-инъекций представляется крайне важным, поскольку по оценке специалистов компании White Hat Security, предположительно 16 из топ-1000 сайтов могут пострадать от такой атаки. Опоздание будет стоить весьма дорого - борьба с начавшейся эпидемией может вылиться в затраты от 3 до 8,5 миллиардов долларов.