SQL injection napadi so realnost

Want create site? With Free visual composer you can do it easy.

»SQL injection« napad sodi med najbolj razširjene in uporabljene tehnike neposrednih napadov na informacijske sisteme.

S tehničnega vidika je to napad na bazo podatkov. Izvede se preko aplikacijskega vmesnika (»app proxy«), ki ga podjetje uporablja za dostop do podatkov v bazi. Napad na bazo ima lahko različne posledice. Največkrat je cilj napadalcev pridobiti večje število zapisov v bazi, do katere nepooblaščen uporabnik nima dostopa.

Samo v času od 15. maja 2016 do 31. maja 2016 smo zabeležili naslednje znane vdore, kjer je bila uporabljena tovrstna tehnika:

  • 18. maja je skupina, ki naj bi pripadala organizaciji Anonymous, izvedla napad na 33 bolnic v Turčiji. Na nepooblaščen način je pridobila 2GB količine podatkov iz arhivov, ki vsebujejo celo vrsto osebnih podatkov pacientov.
Podatki iz turške bolnišnice, ki jih je objavila organizacija Anonymous
  • 18. maja je neznana skupina izvedla napad na avstralski časopis The Sydney Morning Herald The Age Digital Editions. Rezultat napada je bil nepooblaščen dostop do 13.000 e-mail naslovov naročnikov, ki jih je skupina tudi javno objavila.
  • 20. maja je skupina z imenom Phines Fisher izvedla napad na informacijski sistem policijskega sindikata v Španiji. Pridobili so celotno bazo članov (policistov). Baza z vsemi osebnimi podatki (vključno s št. policijskih značk) je bila javno objavljena.
  • 22. maja je skupina z imenom Azmeth izvedla napad na spletno stran burgerking.com.ar. Preko napada je bila pridobljena baza 4.833 uporabniških imen in pripadajočih HASH vrednosti gesel, kar je bilo tudi javno objavljeno.
  • 23. maja je neznana skupina izvedla podoben napad na spletno stran raas.com.au. Preko napada je bila pridobljena baza 3.456 uporabniških imen in pripadajočih HASH vrednosti gesel, kar je bilo tudi javno objavljeno.
  • 30. maja je skupina World Hacker Team izvedla napad na podjetje National Oil Corporation of Kenya. Kot rezultat napada je bila pridobljena celotna notranja baza podatkov podjetja, ki je bila v celoti tudi objavljena na spletu. Baza je vsebovala predvsem podatke o izvedenih javnih raziskavah.
  • 31. maja je skupina @FkPoliceAnonOps izvedla napad na Špansko policijo. Preko napada je skupina uspešno pridobila podrobne osebno podatke več kot 5.000 policistov, ki jih je tudi javno objavila. Spodaj je fotografija (t.i. »snapshot«) manjšega dela teh podatkov
download (2)
Osebni podatki španskih policistov, ki jih je zajela skupina @FkPoliceAnonOps

Potrebno je poudariti, da so navedeni primeri zgolj nekateri izmed objavljenih primerov in da jih obstaja še veliko več neprijavljenih. To je jasno razvidno tudi iz posledic opisanih napadov. Vsem navedenim napadom je namreč skupno, da so bili pridobljeni podatki javno objavljeni (v nekaterih primerih, se je z izvedenim napadom pohvalila celo konkretna organizacija). Določeni napadi nimajo za cilj krajo podatkov, ampak javno objavo podatkov. Bodisi z namenom povzročitve javne škode napadeni organizaciji, bodisi za samopromocijo hacker skupine. Seveda pa obstaja bistveno več napadov, ki ne pridejo v javnost, ker je njihov cilj javnosti prikrit, a s hujšimi posledicami (prodaja pridobljenih podatkov na črnem trgu, izsiljevanje napadene organizacije za vrnitev podatkov ipd.)


Dobra praksa za ugotavljanje SQL injection ranljivosti je

varnostni pregled spletnih aplikacij.

Smart Web

 


Viri in več informacij:

http://news.softpedia.com/news/anonymous-leaks-healthcare-records-from-33-turkish-hospitals-504258.shtml

https://www.databreaches.net/australia-13000-user-accounts-leaked-from-fairfax-media-because-sqli/

https://www.helpnetsecurity.com/2016/05/20/phineas-fisher-records-latest-attack/

http://pastebin.com/Z3P0qQM9

http://news.softpedia.com/news/anonymous-leaks-employee-details-from-national-oil-corporation-of-kenya-504671.shtml

https://www.hackread.com/anonymous-hacks-spanish-police-against-gag-law/


Več vsebin s področja varnosti

 

Did you find apk for android? You can find new Free Android Games and apps.
[grwebform url="https://app.getresponse.com/view_webform_v2.js?u=V1sSi&webforms_id=6394102" css="on" center="off" center_margin="200"/]
[iframe-popup id="2"]