Niebezpieczna Aleja handlowa
Wielokrotnie informowaliśmy o zagrożeniach jakie niesie za sobą atak SQL Injection. Niestety nadal istnieją serwisy, które pomimo dostarczonych informacji i przykładów ataku nie dokonały koniecznych poprawek kodu swoich aplikacji.
Przykład naszego czytelnika, opisującego w swoim blogu kontakt z jednym z serwisów internetowych, pokazuje wyraźnie „poziom” świadomości zagrożenia jakie niesie za sobą aplikacja podatna na podstawowe metody ataku.
Sklep internetowy Aleja handlowa wyraźnie jednak nie jest zainteresowany poprawą poziomu swojego bezpieczeństwa, pomimo iż otrzymał informacje o błędach w aplikacji internetowej w grudniu 2004 roku.
Prosta metoda ataku pozwala odczytać dane osobowe oraz adresy mail klientów.
W wyniku przeprowadzonych badań przy pomocy wyszukiwarki internetowej Google, udało się uzyskać adresy wielu innych sklepów internetowych posiadających błędy w bezpieczeństwie swoich aplikacji. Bezpośrednio narażały one klientów na utratę ich prywatności. Wszystkie sklepy posiadały oprogramowanie napisane na własne potrzeby co z pewnością nie świadczy dobrze o firmach, które nie podjęły się przeprowadzenia analizy kodu.
Jednocześnie z łatwością, można uzyskać adresy sklepów internetowych, wykorzystujących nieaktualne wersje oprogramowania, podatne na krytyczne błędy w bezpieczeństwie.
Zalecamy administratorom popularnych serwisów internetowych, zawierających poufne informacje dokonanie analizy kodu lub w przypadku wykorzystywania darmowego oprogramowania aktualizacje do najnowszej wersji.
Więcej informacji można uzyskać w notatce Patryka Zawadzkiego.
Sposób na SQL Injection w 20 linijkach