Информационная безопасность компьютерных систем и защита конфиденциальных данных
Новости

SQL-injection атака «Lilupophilupop» инфицировала 1 миллион страниц

автор: Zorro | 12 января 2012, 05:59 | Просмотров: 3433
теги: Lilupophilupop, javascript, SQL-Injection

SQL-injection атака «Lilupophilupop» инфицировала 1 миллион страниц Специалисты SANS Internet Storm Center в декабре 2011 года зафиксировали атаку с хитрым названием «Lilupophilupop». Суть ее заключалась проведении SQL-инъекции и внедрении на уязвимых сайтах javascript-кода, размещаемого на домене Lilupophilupop.com — отсюда и такое странное название. Чаще всего жертвами атаки становились сайты, использующие уязвимые библиотеки ASP и СУБД MSSQL.

В результате атаки инфицированными оказались более миллиона страниц по всему интернету. Зараженные страницы содержали в себе рекламу поддельных антивирусов. Таких страниц до сих пор очень много: следы атаки можно найти просто поиском по слову 'Lilupophilupop'.
Статьи

Внедрение SQL-кода

автор: Zorro | 19 июня 2010, 13:55 | Просмотров: 13956
теги: SQL-Injection, взлом

Внедрение SQL-кода Внедрение SQL-кода - (англ. SQL injection) — один из распространённых способов взлома сайтов и программ, работающих с базами данных, основанный на внедрении в запрос произвольного SQL-кода.

Внедрение SQL, в зависимости от типа используемой СУБД и условий внедрения, может дать возможность атакующему выполнить произвольный запрос к базе данных (например, прочитать содержимое любых таблиц, удалить, изменить или добавить данные), получить возможность чтения и/или записи локальных файлов и выполнения произвольных команд на атакуемом сервере.

Атака типа внедрения SQL может быть возможна из-за некорректной обработки входящих данных, используемых в SQL-запросах.

Разработчик прикладных программ, работающих с базами данных, должен знать о таких уязвимостях и принимать меры противодействия внедрению SQL.