Показать сообщение отдельно
Старый 04.04.2011, 22:26   #43
 
Статус: Ст.Лейтенант
Регистрация: 03.10.2008
Адрес: КМВ))•
Сообщений: 449
СПАСИБО: 316
сказали Спасибо 355 раз(а) в 196 сообщении
Получено наград:
По умолчанию Re: Новости информационной безопасности

Сотни тысяч сайтов пострадали от массированной атаки «SQL-инъекция
Цитата:
В Интернете зафиксирована небывалая эпидемия атак типа «SQL-инъекция» - на первый день апреля количество сайтов, пораженных этой эпидемией, составило более 694 тысяч. Новая эпидемия модифицирует текстовое содержимое баз данных, лежащих в основе веб-сайтов, в результате чего в веб-страницы на пораженных сайтах встраивается одна или несколько ссылок на вредоносный файл с JavaScript-сценарием.

Первыми, кто зафиксировал опасную эпидемию, стала компания [Ссылки могут видеть только зарегистрированные пользователи. ]
По их сведениям, атаке подвергаются практически любые сайты, в том числе серверы, где используются технологии ASP, ASP.NET, ColdFusion, JSP и PHP, а также любые другие технологии динамической генерации веб-страниц. Атаки типа «SQL-инъекция» обычно используют уязвимости в плохо написанных веб-приложениях, выполняя прямые запросы к внутренней базе данных. Примечательно, что эффективность подобных атак почти не зависит от конкретной технологии, использованной для написания веб-приложений: ошибки программирования, открывающие путь для таких «SQL-инъекций», можно допустить практически в любом языке или среде программирования. Первопричина таких уязвимостей заключается в том, что программист по умолчанию доверяет любым входящим данным, которые поступают от веб-страницы, будь то значение из формы или параметр в строке адреса URL. В результате такого слепого доверия входящие данные напрямую передаются в базу данных. Если злоумышленник целенаправленно подменяет входные данные, база теоретически может выполнить выбранный злоумышленником код.

В данном случае внедряемый код на языке SQL (именно этот язык используется для операций с базами данных) просто меняет текстовые поля в базе данных – эти поля будут содержать дополнительный фрагмент на языке HTML. Этот дополнительный HTML-код загружает JavaScript-сценарий с удаленного сервера: чаще всего с адресов типа «[Ссылки могут видеть только зарегистрированные пользователи. ] или «[Ссылки могут видеть только зарегистрированные пользователи. ]. Оба приведенных домена ведут на один и тот же IP-адрес, причем на данный момент этот сервер не отзывается на запросы, так что браузеры посетителей не могут загрузить вредоносный сценарий при посещении зараженных сайтов. До этого загружаемый сценарий перенаправлял посетителей на фальшивый сайт с антивирусными утилитами.

Массированный характер атаки и быстро растущее число пораженных сайтов выделяют новую эпидемию из общего числа подобных атак. Зараженный код, в частности, обнаружили на многих страницах продуктов в магазине приложений Apple iTunes. Дело в том, что сайт Apple собирает RSS-потоки, которые передаются конечным потребителям через сервис iTunes, а многие авторы этих RSS-потоков, точнее, их частные веб-сайты, как раз и пострадали от новой атаки. В результате вредоносный код проник на сайт компании Apple. В то же время, следует отметить, что из-за специфической обработки, которой компания Apple подвергает RSS-потоки, угроза распространения атаки через этот сайт сведена к нулю.

Строго говоря, «SQL-инъекции» подобного типа впервые проявились примерно 6 месяцев назад. Домен, в котором размещается JavaScript-сценарий, все время менялся, а вот имя файла – «ur.php» — и стиль заражения остался прежним. Результаты исполнения сценариев тоже остались без изменений – всплывающие окна c рекламой фальшивых антивирусов или скрытая загрузка вирусов. Как бы то ни было, первые атаки были далеки от нынешней интенсивности – всего лишь сотни пораженных сайтов вместо нынешних сотен тысяч. Кстати, изначально атаки исходили с IP-адресов, зарегистрированных в Восточной Европе и в России. Среди пораженных сайтов оказались не только сайты Apple, но и сайт MySQL.com, который посвящен открытой СУБД MySQL, сейчас принадлежащей компании Oracle – [Ссылки могут видеть только зарегистрированные пользователи. ] бросает тень на крупнейшего поставщика СУБД, неспособного обеспечить безопасность собственной БД.
По материалам сайта: [Ссылки могут видеть только зарегистрированные пользователи. ]


[Ссылки могут видеть только зарегистрированные пользователи. ]
Владимир_ вне форума   ЦИТИРОВАТЬ