Krótko: boczna wersja SQL Injection

David Litchfield specjalista zajmujący się badaniami bezpieczeństwa systemów IT opublikował szczegółowe, techniczne informacje o nowym rodzaju ataków, które zagrażają użytkownikom baz danych Oracle.

Ta nowa technika została określona jako "lateral SQL injection". Umożliwia ona zdalne uzyskanie uprawnień administratora bazy, a w efekcie instalację oprogramowania oraz modyfikację lub kradzież danych. Ogólne informacje o tym zagrożeniu zaprezentowano po raz pierwszy podczas ostatniej konferencji Black Hat, a obecnie zostały upublicznione szczegóły techniczne dotyczące możliwości przeprowadzenia tego typu ataków.

Klasyczna technika SQL Injection polega na przygotowaniu odpowiednio spreparowanego zapytania do bazy, które powoduje uruchomienie zaplanowanych przez włamywacza rozkazów SQL. Dotychczas większość specjalistów była przekonana, że technika ta wymaga wprowadzenia do bazy ciągu znaków alfanumerycznych. David Litchfield wykazał, że do ataku można wykorzystać również inne typy danych, jak liczbowe lub reprezentujące daty.

Opisana technika wykorzystuje luki w języku Procedural Language/SQL, który jest bardzo popularny w środowisku programistów baz Oracle. David Litchfield uważa, że jeśli ktoś jest użytkownikiem bazy Oracle i jednocześnie wykorzystuje własne, opracowane dla potrzeb firmy aplikacje, to prawie pewne iż zawierają one tą lukę w bezpieczeństwie.


TOP 200