SANS Institute odkrywa tajemnicę ataków na witryny
18 kwietnia 2008 11:27 Janusz Chustecki
Jeden z programistów mówi, "mieliśmy ogólne pojęcie o tym, jak takie ataki są przeprowadzane. Wiedzieliśmy, że operacje są wykonywane automatycznie, ale nie mogliśmy stwierdzić dokładnie, jak taki system pracuje i jakich narzędzi używają włamywacze".
Gdy narzędzie znajduje podatną na atak witrynę, do akcji wchodzi program atakujący ją. Program zawiera instrukcję SQL, która próbuje zagnieździć na każdej stronie HTML witryny specjalnie przygotowany, szkodliwy skrypt .
Instrukcja SQL została tak napisana, aby atakować witryny WWW oparte na aplikacjach Internet Information Server i SQL Server. Po przejęciu kontroli nad witryną, włamywacz może na niej umieszczać szkodliwe programy, które realizują różne wrogie działania (wykorzystując technologię JavaScript) i atakują użytkowników odwiedzających stronę. McAfee zidentyfikował już np. jeden taki program, który kradnie hasła używane przez użytkowników gry "Lord of the Rings Online".
Wśród ofiar ataków opartych na odkrytych przez SAN Institut metodach znalazły się między innymi takie firmy, jak Trend Micro oraz CA.
Komentarze (5)
- tad
- 2008-04-18 11:57:22
Zdumiewające, jak wielu pisze aplikacje na tak niskim poziomie. Może część z nich uczyło sie pisać dla MySQL, PosgreSQL, java script z dopuszaniem do zapytan sql w xhtml itd. A w pracy przesiedli się na VS i MSSQL i próbują zrobić to samo i tak samo ja sie uczyli pod linuksem - a tu dostosowania domyślne są dla rozwiązań o 2 generacje do przodu i brak wiedzy i włoczone przyzwyczajenia ich blokują (bo nawet code behind czy tradycyjna ochrona od sql injection itp jest juz mocno schodzące chociaż w pełni wspierane, jest wiele nowych elastyczniejszych lub bezpieczniejszych lub o rząd wydajniejszych dla programity) - a mimo to ludziki twardo szydełkują w starym stylu pod górkę i wychodzą niebezpieczne i rozdente gnioty, później pisze się o atakach na witryny IIS (6 czy może 7) na ataki na MS SQL, czy temu podobne. W drugiej strony ataki są na to na co pisane są programy atakujące i na to co jest używane a może przynieść jakieś zyski dla atakujących.
- rewrw
- 2008-04-18 11:57:53
Jak ktoś używa IIS, to sam się prosi...
- Szczur
- 2008-04-18 13:15:37
tad: moje doświadczenie (kilkanaście lat pracy w branży IT) mówi mi, że jest zupełnie na odwrót. Ktoś kto nauczył się porządnie pisać programy w C (linux) i uczył się na bazach gdzie trzeba było samemu pamiętać o wielu rzeczach a nie ufać "czarnym skrzynkom" ten pisze programy małe i dobrze zoptymalizowane. Natomiast ten kto od początku rzeźbił w narzędziach Microsoftu i posiłkował się gdzie się dało kreatorami ten w zasadzie nie jest dobrym programistą. p.s. poważna systemy raczej nie są oparte o MSSQL. W profesjonalnych systemach raczej spotkasz Oracla i systemy Unixowe (w tym Linux) - czyli Twoja teoria, że włamują się tam gdzie można odnieść zyski jest chybiona. Bo prawdziwe zyski są dobrze zabezpieczone (Unix i Oracle)
- Artur W.
- 2008-04-18 13:43:47
Szczur: wyrzuć słowa "microsoft" i "linux" z wypowiedzi, a będziesz miał stuprocentową rację jak ktoś nauczył się tworzyć _porządny_ kod i _zna_ sql`a, to pod każdą platformę jest w stanie napisać _BEZPIECZNĄ_ aplikację :)
- fffatman
- 2008-04-18 23:28:37
@tad: Winni atakow na serwery i bazy danych MS sa programisci baz i admini ze zlymi nawykami spod Linuksa i OS. Prowadziles badania czy ot tak sobie konfabulujesz?
Popularne produkty
Bezpieczna dieta wysokobiałkowa
Perspi Block, kapsułki, 30szt.
Smartfon SONY ERICSSON Xperia Arc S
Pobierz bezpłatnego e-booka 
Kariera w IT 2012
