Bīstamība tīmekļa datu bāzes nepilnībās

Pagājušajā nedēļā federālie prokurori apsūdzēja Albertu Gonsalessu , vīrietis, kuram jau ir izvirzīta apsūdzība par gandrīz 100 miljonu kredītkaršu un debetkaršu kontu zādzību no mazumtirgotāja TJX par iespējamo sadarbību ar trim citiem cilvēkiem, lai ielauztos vēl piecos uzņēmumos. Tiek apgalvots, ka Gonsaless un viņa grupas nozaga vēl vismaz 130 miljonus kredītkaršu un debetkaršu kontu.





Katrā gadījumā sākotnējais kompromiss tika panākts, izmantojot upura vietni, izmantojot paņēmienu, kas pazīstams kā SQL injekcija, par kuru reti tiek runāts ārpus datoru drošības aprindām.

Uzbrukums izmanto vietnes komponentus, kas ļauj lietotājam ievadīt, piemēram, meklēšanas lodziņus un pieteikšanās lapas. Ja tīmekļa lietojumprogramma adekvāti nepārbauda rakstzīmju virknes derīgumu, uzbrucējs var ievadīt īpaši formatētu virkni, kas pēc apstrādes tiks pārveidota par datu bāzes komandu. Tā kā lielākā daļa tīmekļa datu bāzu izmanto strukturēto vaicājumu valodu jeb SQL, uzbrukums ir pazīstams kā SQL injekcija.

Tas ir vidēja līmeņa apdraudējums, ko pārējā nozare ir tik ilgi ignorējusi, ka uzbrucēji ir sapratuši, ka tas ir plaši atvērts lauks, saka Dens Holdens, IBM X-Force ievainojamības izpētes komandas produktu vadītājs.



Tā kā tīmekļa izstrādātāji parasti nav programmētāji un vairums programmētāju nav pietiekami mācīti drošības praksē, tiešsaistes lietojumprogrammās ir daudz SQL ievadīšanas kļūdu.

Big Blue SQL injekcijas uzbrukumu skaits ir dubultojies no 2009. gada pirmā ceturkšņa līdz otrajam ceturksnim. Dažu pēdējo gadu laikā ievainojamības, kas ļauj veikt SQL injekciju, ir ieņēmušas vienu no trim pirmajām vietām ikgadējā trūkumu sarakstā. Pagājušajā gadā aptuveni 20 procenti no 5600 ievainojamībām tika reģistrēti Nacionālā neaizsargātības datu bāze bija saistīti ar SQL injekciju.

Izstrādātāji strādā augsta līmeņa programmēšanas valodās, un viņiem vienkārši nav iemācīts tikt galā ar ievainojamībām, saka Holdens. Kļūdas un ievainojamības rodas tāpēc, ka cilvēki pieļauj kļūdas, un tieši cilvēki programmē lietojumprogrammas.



Uzsverot briesmas, drošības firma ScanSafe šonedēļ paziņoja, ka ir atradusi gandrīz 100 000 tīmekļa lapu, kas ir apdraudētas, izmantojot SQL injekcijas uzbrukumu, iekļaujot ļaunprātīgu kodu.

Šķiet, ka tas ir sasniedzis pubertāti, saka Holdens. SQL injekcija ir sākusi ienākt pati par sevi.

paslēpties