SQL-инъекция - SQL injection

Часть серии по
Информационная безопасность
Связанные категории безопасности
Угрозы
Защиты
Классификация векторов атак SQL-инъекций в 2010 г.
Классификация атакующего вектора SQL-инъекции по состоянию на 2010 год.

SQL-инъекция это внедрение кода техника, используемая для атака управляемые данными приложения, в которых вредоносные SQL операторы вставляются в поле ввода для выполнения (например, для передачи содержимого базы данных злоумышленнику).[1] SQL-инъекция должна использовать уязвимость безопасности в программном обеспечении приложения, например, когда пользовательский ввод неправильно фильтруется для строковый литерал escape-символы встроенные в операторы SQL или пользовательский ввод не строго типизированный и неожиданно казнен. SQL-инъекция в основном известна как атака вектор для веб-сайтов, но может использоваться для атаки на любой тип базы данных SQL.

Атаки с использованием SQL-инъекций позволяют злоумышленникам подделать идентификационные данные, подделать существующие данные, вызвать проблемы отказа, такие как аннулирование транзакций или изменение балансов, разрешить полное раскрытие всех данных в системе, уничтожить данные или сделать их недоступными иным образом и стать администраторами сервер базы данных.

В исследовании 2012 года было замечено, что в среднем веб-приложение подвергалось 4 атакам в месяц, а розничные продавцы получали вдвое больше атак, чем другие отрасли.[2]

История

Первые публичные обсуждения SQL-инъекций начали появляться примерно в 1998 году;[3] например, статья 1998 г. в Журнал Phrack.[4]

Форма

SQL-инъекция (SQLI) была признана одной из 10 основных уязвимостей веб-приложений 2007 и 2010 гг. Открыть проект безопасности веб-приложений.[5] В 2013 году SQLI был признан атакой номер один в первой десятке OWASP.[6] Есть четыре основных подкласса SQL-инъекций:

  • SQL-инъекция + недостаточная аутентификация[7]
  • SQL-инъекция + DDoS нападения[8]
  • SQL-инъекция + Перехват DNS[9]
  • SQL-инъекция + XSS[10]

В Штормовой червь является одним из представлений составного SQLI.[11]

Эта классификация отражает состояние SQLI с учетом его эволюции до 2010 г. - в настоящее время ведется дальнейшее уточнение.[12]

Технические реализации

Неправильно отфильтрованные escape-символы

Эта форма внедрения происходит, когда пользовательский ввод не фильтруется для escape-символы и затем передается в оператор SQL. Это приводит к потенциальной манипуляции операторами, выполняемыми в базе данных конечным пользователем приложения.

Следующая строка кода иллюстрирует эту уязвимость:

заявление = "ВЫБРАТЬ * ИЗ пользователи КУДА имя = '"+ имя_пользователя +"';"

Этот код SQL предназначен для извлечения записей указанного имени пользователя из его таблицы пользователей. Однако, если переменная userName определенным образом создана злоумышленником, оператор SQL может сделать больше, чем задумал автор кода. Например, установка переменной userName как:

'ИЛИ' 1 '=' 1

или используя комментарии, чтобы даже заблокировать остальную часть запроса (есть три типа комментариев SQL[13]). Все три строки имеют в конце пробел:

'ИЛИ' 1 '=' 1 '-' ИЛИ ​​'1' = '1' {'ИЛИ' 1 '=' 1 '/ *

отображает на родительском языке один из следующих операторов SQL:

ВЫБРАТЬ * ИЗ пользователи КУДА имя = '' ИЛИ ЖЕ '1'='1';
ВЫБРАТЬ * ИЗ пользователи КУДА имя = '' ИЛИ ЖЕ '1'='1' -- ';

Если бы этот код использовался в процедуре аутентификации, то этот пример можно было бы использовать для принудительного выбора каждого поля данных (*) из все пользователей, а не от одного конкретного имени пользователя, как предполагал кодировщик, потому что оценка «1» = «1» всегда верна.

Следующее значение «userName» в приведенном ниже утверждении приведет к удалению таблицы «users», а также к выбору всех данных из таблицы «userinfo» (по сути, раскрывая информацию о каждом пользователе), используя API что позволяет использовать несколько операторов:

а ';УРОНИТЬ СТОЛ пользователи; ВЫБРАТЬ * ИЗ userinfo КУДА 'т' = 'т

Эти входные данные отображают последний оператор SQL следующим образом:

ВЫБРАТЬ * ИЗ пользователи КУДА имя = 'а';УРОНИТЬ СТОЛ пользователи; ВЫБРАТЬ * ИЗ userinfo КУДА 'т' = 'т';

В то время как большинство реализаций SQL-серверов позволяют выполнять таким образом несколько операторов за один вызов, некоторые API-интерфейсы SQL, такие как PHP с mysql_query () функция не допускает этого по соображениям безопасности. Это не позволяет злоумышленникам вводить полностью отдельные запросы, но не мешает им изменять запросы.

Слепая SQL-инъекция

Слепая SQL-инъекция используется, когда веб-приложение уязвимо для SQL-инъекции, но результаты инъекции не видны злоумышленнику. Страница с уязвимостью может не отображать данные, но будет отображаться по-разному в зависимости от результатов логического оператора, введенного в законный оператор SQL, вызванный для этой страницы. Этот тип атаки традиционно считается трудоемким, поскольку новый оператор необходимо было создать для каждого восстановленного бита, и в зависимости от его структуры атака может состоять из множества неудачных запросов. Последние достижения позволили каждому запросу восстанавливать несколько битов без неудачных запросов, что обеспечивает более последовательное и эффективное извлечение.[14] Существует несколько инструментов, которые могут автоматизировать эти атаки после определения местоположения уязвимости и информации о цели.[15]

Условные ответы

Один тип слепой инъекции SQL заставляет базу данных оценивать логический оператор на обычном экране приложения. Например, веб-сайт с обзором книг использует Строка запроса чтобы определить, какой обзор книги отображать. Итак URL https://books.example.com/review?id=5 заставит сервер запустить запрос

ВЫБРАТЬ * ИЗ отзывы о книге КУДА Я БЫ = '5';

из которого он будет заполнять страницу обзора данными из обзора с Я БЫ 5, хранится в стол отзывы о книге. Запрос полностью выполняется на сервере; пользователь не знает имен базы данных, таблицы или полей, а также не знает строку запроса. Пользователь видит только то, что указанный выше URL возвращает обзор книги. А хакер может загружать URL https://книги.пример.com/рассмотрение?я бы=5 ИЛИ ЖЕ 1=1 и https://книги.пример.com/рассмотрение?я бы=5 И 1=2, что может привести к запросам

ВЫБРАТЬ * ИЗ отзывы о книге КУДА Я БЫ = '5' ИЛИ ЖЕ '1'='1';ВЫБРАТЬ * ИЗ отзывы о книге КУДА Я БЫ = '5' И '1'='2';

соответственно. Если исходный обзор загружается с URL-адресом "1 = 1", а по URL-адресу "1 = 2" возвращается пустая страница или страница с ошибкой, а возвращенная страница не была создана для предупреждения пользователя о недопустимом вводе или другом Словом, был обнаружен входным тестовым сценарием, сайт, вероятно, уязвим для атаки с использованием SQL-инъекции, поскольку запрос, скорее всего, будет успешно пройден в обоих случаях. Хакер может продолжить эту строку запроса, чтобы узнать номер версии MySQL на сервере: https://книги.пример.com/рассмотрение?я бы=5 И подстрока(@@версия, 1, INSTR(@@версия, '.') - 1)=4, который покажет рецензию на книгу на сервере с MySQL 4 и пустую страницу или страницу с ошибкой. Хакер может продолжать использовать код в строках запроса для непосредственного достижения своей цели или для получения дополнительной информации с сервера в надежде обнаружить другое направление атаки.[16][17]

SQL-инъекция второго порядка

SQL-инъекция второго порядка происходит, когда отправленные значения содержат вредоносные команды, которые сохраняются, а не выполняются немедленно. В некоторых случаях приложение может правильно закодировать инструкцию SQL и сохранить ее как действительный SQL. Затем другая часть этого приложения без элементов управления для защиты от внедрения SQL может выполнить этот сохраненный оператор SQL. Эта атака требует дополнительных знаний о том, как в дальнейшем используются представленные значения. Автоматические сканеры безопасности веб-приложений не смогут легко обнаружить этот тип SQL-инъекции, и, возможно, потребуется вручную указать, где проверять наличие доказательств того, что это делается.

Смягчение

SQL-инъекция - это хорошо известная атака, которую легко предотвратить простыми мерами. После очевидной атаки SQL-инъекции на Говори говори В 2015 году BBC сообщила, что эксперты по безопасности были ошеломлены тем, что такая крупная компания окажется уязвимой для нее.[18]

Обнаружение

Фильтрация SQL-инъекций работает аналогично фильтрам спама в электронной почте. Брандмауэры баз данных обнаруживают SQL-инъекции на основе количества недействительных запросов от хоста, при наличии блоков OR и UNION внутри запроса или других.[19]

Параметризованные заявления

Основная статья: Подготовленное заявление

На большинстве платформ разработки могут использоваться параметризованные операторы, работающие с параметрами (иногда называемые заполнителями или привязать переменные ) вместо встраивания пользовательского ввода в оператор. Заполнитель может хранить только значение данного типа, но не произвольный фрагмент SQL. Следовательно, SQL-инъекция будет просто рассматриваться как странное (и, вероятно, недопустимое) значение параметра. Во многих случаях оператор SQL является фиксированным, и каждый параметр является скаляр, а не стол. Затем пользовательский ввод назначается (привязан) к параметру.[20]

Проще говоря, использование параметризованных запросов может определенно предотвратить внедрение SQL. В основном это означает, что ваши переменные не являются строками запроса, которые могут принимать произвольные входные данные SQL, однако некоторые параметры данных типов определенно необходимы. Параметризованные запросы требуют от разработчика определения всего кода. Следовательно, без параметризованных запросов любой может ввести в поле любой код SQL и стереть базу данных. Но если бы параметры были установлены на «@username», то человек мог бы только ввести имя пользователя без какого-либо кода.[21]

Обеспечение соблюдения на уровне кодирования

С помощью объектно-реляционное отображение библиотеки избегают необходимости писать код SQL. Фактическая библиотека ORM будет генерировать параметризованные операторы SQL из объектно-ориентированного кода.

Побег

Простой, хотя и подверженный ошибкам способ предотвратить инъекции - это экранировать символы, которые имеют особое значение в SQL. В руководстве для СУБД SQL объясняется, какие символы имеют особое значение, что позволяет создать исчерпывающий черный список символов, нуждающихся в переводе. Например, каждое вхождение одной кавычки (') в параметре необходимо заменить двумя одинарными кавычками (''), чтобы сформировать допустимый строковый литерал SQL. Например, в PHP обычно экранировать параметры с помощью функции mysqli_real_escape_string (); перед отправкой SQL-запроса:

$ mysqli = новый mysqli("имя хоста", 'db_username', 'db_password', 'db_name');$ запрос = спринт("ВЫБРАТЬ * ИЗ` Users`, ГДЕ UserName = '% s' И пароль = '% s' ",                  $ mysqli->real_escape_string($ имя пользователя),                  $ mysqli->real_escape_string($ пароль));$ mysqli->запрос($ запрос);

Эта функция добавляет обратную косую черту к следующим символам: x00, п, р, \, ', " и x1aЭта функция обычно используется для обеспечения безопасности данных перед отправкой запроса в MySQL.[22]
PHP имеет аналогичные функции для других систем баз данных, таких как pg_escape_string () для PostgreSQL. Функция добавляет косые черты (строка $ str) работает для экранирования символов и используется особенно для запросов к базам данных, в которых нет функций экранирования в PHP. Он возвращает строку с обратной косой чертой перед символами, которые необходимо экранировать в запросах к базе данных и т. Д. Это символы одинарной кавычки ('), двойной кавычки ("), обратной косой черты () и NUL (нулевой байт).[23]
Обычная передача экранированных строк в SQL подвержена ошибкам, потому что легко забыть экранировать данную строку. Создание прозрачного слоя для защиты ввода может снизить вероятность ошибки, если не полностью устранить ее.[24]

Проверка шаблона

Целочисленные, числа с плавающей запятой или логические, строковые параметры можно проверить, является ли их значение допустимым представлением для данного типа. Строки, которые должны соответствовать некоторому строгому шаблону (дата, UUID, только буквенно-цифровые и т. Д.), Могут быть проверены, если они соответствуют этому шаблону.

Разрешения базы данных

Ограничение разрешений для входа в базу данных, используемого веб-приложением, только тем, что необходимо, может помочь снизить эффективность любых атак с использованием SQL-инъекций, использующих любые ошибки в веб-приложении.

Например, на Microsoft SQL Server, вход в базу данных может быть ограничен выбором некоторых системных таблиц, что ограничит эксплойты, пытающиеся вставить JavaScript во все текстовые столбцы в базе данных.

ОтрицатьВыбратьнаsys.sysobjectsкwebdatabaselogon;ОтрицатьВыбратьнаsys.объектыкwebdatabaselogon;ОтрицатьВыбратьнаsys.столыкwebdatabaselogon;ОтрицатьВыбратьнаsys.взглядыкwebdatabaselogon;ОтрицатьВыбратьнаsys.пакетыкwebdatabaselogon;

Примеры

  • В феврале 2002 года Джеремия Джекс обнаружил, что Guess.com уязвим для атаки с использованием SQL-инъекции, что позволяет любому, кто может создать правильно созданный URL-адрес, получить 200 000+ имен, номеров кредитных карт и дат истечения срока действия в базе данных клиентов сайта.[25]
  • 1 ноября 2005 г. подросток-хакер использовал SQL-инъекцию, чтобы проникнуть на сайт Тайваньский журнал по информационной безопасности от группы Tech Target и воруют информацию клиентов.[26]
  • 13 января 2006 г. русский компьютерные преступники ворвались в Правительство Род-Айленда веб-сайт и якобы украл данные кредитных карт у лиц, которые вели бизнес в Интернете с государственными учреждениями.[27]
  • 29 марта 2006 г. хакер обнаружил уязвимость SQL-инъекции в официальном Индийское правительство с туризм сайт.[28]
  • 29 июня 2007 г. компьютерный преступник испортил Microsoft Веб-сайт Великобритании с использованием SQL-инъекции.[29][30] Сайт в Великобритании Реестр цитирует Microsoft представитель признавая проблему.
  • 19 сентября 2007 г. и 26 января 2009 г. турецкая хакерская группа "m0sted" использовала SQL-инъекцию, чтобы использовать SQL Server Microsoft для взлома веб-серверов, принадлежащих Завод боеприпасов McAlester Army и Инженерный корпус армии США соответственно.[31]
  • В январе 2008 года десятки тысяч компьютеров были заражены автоматической атакой с использованием SQL-инъекции, использовавшей уязвимость в коде приложения, использующем Microsoft SQL Server как хранилище базы данных.[32]
  • В июле 2008 г. Касперский с Малазийский сайт был взломан группой хакеров "m0sted" с помощью SQL-инъекции.
  • 13 апреля 2008 г. Реестр лиц, совершивших сексуальные преступления и насильственные преступления из Оклахома закрыть свой веб-сайт для "плановое техническое обслуживание "после того, как ему сообщили, что 10 597 Номера социального страхования принадлежащий сексуальные преступники был загружен с помощью атаки SQL-инъекции[33]
  • В мае 2008 г. ферма серверов внутри Китай использовали автоматические запросы для Поисковая система Google идентифицировать SQL сервер веб-сайты, которые были уязвимы для атаки автоматического инструмента SQL-инъекции.[32][34]
  • В 2008 году, по крайней мере, с апреля по август, началась серия атак с использованием уязвимостей SQL-инъекций Microsoft Веб-сервер IIS и Сервер базы данных SQL Server. Атака не требует угадывания имени таблицы или столбца и повреждает все текстовые столбцы во всех таблицах за один запрос.[35] Строка HTML, которая ссылается на вредоносное ПО JavaScript файл добавляется к каждому значению. Когда это значение базы данных позже отображается посетителю веб-сайта, сценарий пытается несколькими способами получить контроль над системой посетителя. Количество эксплуатируемых веб-страниц оценивается в 500 000.[36]
  • 17 августа 2009 г. Министерство юстиции США предъявил обвинение гражданину США, Альберт Гонсалес, и двое неназванных россиян с кражей 130 миллионов номеров кредитных карт с помощью атаки SQL-инъекции. Как сообщается, в "самом крупном случае кража личных данных в американской истории », этот человек украл карты у ряда корпоративных жертв после исследования их системы обработки платежей. Среди пострадавших компаний были обработчики кредитных карт. Платежные системы Heartland, сеть круглосуточных магазинов 7 ‑ Eleven, и сеть супермаркетов Hannaford Brothers.[37]
  • В декабре 2009 г. злоумышленник взломал RockYou база данных открытого текста, содержащая незашифрованный имена пользователей и пароли около 32 миллионов пользователей, использующих атаку с использованием SQL-инъекции.[38]
  • В июле 2010 года южноамериканский исследователь безопасности, известный ручка "Ch Russo" получила конфиденциальную информацию о пользователях из популярных BitTorrent сайт Пиратская бухта. Он получил доступ к административной панели управления сайтом и воспользовался уязвимостью SQL-инъекции, которая позволила ему собрать информацию об учетных записях пользователей, в том числе IP-адреса, MD5 хеши паролей и записи о том, какие торренты загрузили отдельные пользователи.[39]
  • С 24 по 26 июля 2010 г. злоумышленники из Япония и Китай использовали SQL-инъекцию для получения доступа к данным кредитных карт клиентов из Neo Beat, Осака - компания, которая управляет большим сайтом онлайн-супермаркета. Атака также затронула семь деловых партнеров, включая сети супермаркетов Izumiya Co, Maruetsu Inc и Ryukyu Jusco Co. Кража данных затронула 12 191 покупателя. По состоянию на 14 августа 2010 г. сообщалось, что было зарегистрировано более 300 случаев использования информации о кредитных картах третьими сторонами для покупки товаров и услуг в Китае.
  • 19 сентября во время 2010 всеобщие выборы в Швеции избиратель предпринял попытку внедрения кода, написав от руки команды SQL как часть написать в голосование.[40]
  • 8 ноября 2010 г. Королевский флот веб-сайт был взломан румынским хакером по имени TinKode с помощью SQL-инъекции.[41][42]
  • 5 февраля 2011 г. HBGary, компания, занимающаяся технологической безопасностью, была взломана LulzSec используя SQL-инъекцию на своем веб-сайте, управляемом CMS[43]
  • 27 марта 2011 г. www.mysql.com, официальная домашняя страница для MySQL, был взломан хакером с помощью слепой инъекции SQL[44]
  • 11 апреля 2011 г. Barracuda Networks был скомпрометирован с помощью SQL-инъекции. Адрес электронной почты и имена пользователей сотрудников были среди полученной информации.[45]
  • 27 апреля 2011 г. в течение 4 часов произошла атака с автоматическим внедрением SQL-кода на Отчеты о широкополосном доступе веб-сайт, который смог извлечь 8% пар имени пользователя и пароля: 8000 случайных учетных записей из 9000 активных и 90 000 старых или неактивных учетных записей.[46][47][48]
  • 1 июня 2011 г. "хактивисты "группы LulzSec были обвинены в использовании SQLI для кражи купоны, скачать ключи и пароли, которые хранились в виде открытого текста на Sony веб-сайт, доступ к личной информации миллиона пользователей.[49]
  • В июне 2011 г. PBS был взломан LulzSec, скорее всего, с помощью SQL-инъекции; полный процесс, используемый хакерами для выполнения SQL-инъекций, был описан в этом Imperva блог.[50]
  • В мае 2012 г. на сайте Wurm Online, а многопользовательская онлайн-игра, был отключен из-за SQL-инъекции во время обновления сайта.[51]
  • В июле 2012 г. сообщалось, что группа хакеров украла 450 000 учетных данных для входа в систему Yahoo!. Логины хранились в простой текст и были предположительно взяты из Yahoo субдомен, Yahoo! Голоса. Группа взломала систему безопасности Yahoo, используя "союз на основе техники SQL-инъекций ".[52][53]
  • 1 октября 2012 года хакерская группа под названием «Team GhostShell» опубликовала личные записи студентов, преподавателей, сотрудников и выпускников из 53 университетов, включая Гарвард, Принстон, Стэнфорд, Корнелл, Джонс Хопкинс, а Цюрихский университет на pastebin.com. Хакеры утверждали, что они пытались «привлечь внимание к изменениям, внесенным в сегодняшнее образование», оплакивая изменение законов об образовании в Европе и рост обучение в США.[54]
  • В феврале 2013 года группа мальдивских хакеров взломала сайт «ООН-Мальдивы» с помощью SQL Injection.
  • 27 июня 2013 г. хакерская группа "RedHack "взломали сайт администрации Стамбула.[55] Они утверждали, что смогли списать долги людей перед компаниями за воду, газ, Интернет, электричество и телефонную связь. Кроме того, они опубликовали имя пользователя и пароль администратора, чтобы другие граждане могли войти в систему и погасить свои долги рано утром. Они объявили новости из Twitter.[56]
  • 4 ноября 2013 года группа хактивистов «RaptorSwag» якобы взломала 71 правительственную базу данных Китая, используя атаку с помощью SQL-инъекции на Китайскую международную торговую палату. Утечка данных была опубликована в сотрудничестве с Анонимный.[57]
  • 2 февраля 2014 г. на AVS TV произошла утечка 40 000 аккаунтов хакерской группой @deletesec. [58]
  • 21 февраля 2014 г. произошла утечка данных 3215 учетных записей Форума управления Интернетом Организации Объединенных Наций.[59]
  • 21 февраля 2014 года хакеры из группы под названием @deletesec взломали Spirol International после того, как якобы пригрозили арестовать хакеров за сообщение об уязвимости системы безопасности. В ходе этого конфликта было раскрыто 70 000 пользовательских данных.[60]
  • 7 марта 2014 года официальные лица Университета Джона Хопкинса публично объявили, что их серверы биомедицинской инженерии стали жертвой атаки с использованием SQL-инъекции, осуществленной анонимным хакером по имени «Хуки» и связанным с группой хактивистов «RaptorSwag». Хакеры взломали личные данные 878 студентов и сотрудников, разместив пресс-релиз и утечка данных в Интернете.[61]
  • В августе 2014 г. Милуоки Компания, занимающаяся компьютерной безопасностью, Hold Security сообщила, что обнаружила кража конфиденциальной информации с почти 420 000 веб-сайтов с помощью SQL-инъекций.[62] Нью-Йорк Таймс подтвердил этот вывод, наняв специалиста по безопасности для проверки претензии.[63]
  • В октябре 2015 года была использована атака с использованием SQL-инъекции для кражи личных данных 156 959 клиентов британской телекоммуникационной компании. TalkTalk's серверов, эксплуатирующих уязвимость устаревшего веб-портала.[64]
  • В августе 2020 года была использована атака с использованием SQL-инъекции для доступа к информации о романтических интересах многих людей. Стэнфорд студентов из-за небезопасных стандартов очистки данных со стороны Link, стартапа, основанного на территории кампуса.[65]

В популярной культуре

  • Несанкционированный вход на веб-сайты с помощью SQL-инъекции составляет основу одной из подзаголовков в J.K. Роулинг Роман 2012 года Случайная вакансия.
  • An xkcd мультфильм вовлечен персонаж Роберт'); ВЫБЕРИТЕ ТАБЛИЦУ студентов; - назван для выполнения SQL-инъекции. В результате этого мультфильма SQL-инъекцию иногда неофициально называют «таблицами Бобби».[66][67]
  • В 2014 году человек из Польши юридически переименовал свой бизнес в Дариуш Якубовский x '; Пользователи DROP TABLE; ВЫБРАТЬ '1 в попытке нарушить работу спамеров боты-сборщики.[68]
  • Игра 2015 года Хакнет есть программа для взлома SQL_MemCorrupt. Он описывается как введение записи таблицы, которая вызывает ошибку повреждения в базе данных SQL, затем запрашивает указанную таблицу, вызывая сбой базы данных SQL и дамп ядра.
  • В 2019 году Звездный путь: открытие эпизод Если память не исправляет Коммандер Айриам обнаружила, что зонд, атаковавший хранилище данных на одном из корабельных шаттлов, сделал ряд инъекций SQL, но она не смогла найти никаких скомпрометированных файлов.

Смотрите также

Рекомендации

  1. ^ Microsoft. "SQL-инъекция". В архиве с оригинала 2 августа 2013 г.. Получено 4 августа, 2013. SQL-инъекция - это атака, при которой вредоносный код вставляется в строки, которые позже передаются в экземпляр SQL Server для анализа и выполнения. Любая процедура, которая создает операторы SQL, должна быть проверена на наличие уязвимостей внедрения, поскольку SQLi Server будет выполнять все синтаксически допустимые запросы, которые он получает. Даже параметризованные данные могут использоваться опытным и решительным злоумышленником.
  2. ^ Imperva (июль 2012 г.). "Отчет об атаке на веб-приложение Imperva" (PDF). В архиве (PDF) из оригинала 7 сентября 2013 г.. Получено 4 августа, 2013. Розничные торговцы подвергаются вдвое большему количеству атак SQL-инъекций, чем другие отрасли. / Хотя большинство веб-приложений подвергаются 4 и более кампаниям веб-атак в месяц, некоторые веб-сайты постоянно подвергаются атакам. / Один наблюдаемый веб-сайт подвергался атакам 176 из 180 дней, или 98% времени.
  3. ^ Шон Майкл Кернер (25 ноября 2013 г.). «Как была обнаружена SQL-инъекция? Исследователь, когда-то известный как Рейн Форрест Пуппи, объясняет, как он обнаружил первую SQL-инъекцию более 15 лет назад». В архиве с оригинала 18 марта 2014 г.
  4. ^ Джефф Форристал (подписывается как rain.forest.puppy) (25 декабря 1998 г.). "Уязвимости веб-технологий NT". Журнал Phrack. 8 (54 (статья 8)). В архиве с оригинала от 19 марта 2014 г.
  5. ^ «Категория: Проект первой десятки OWASP». OWASP. В архиве из оригинала 19 мая 2011 г.. Получено 3 июня, 2011.
  6. ^ «Категория: Проект первой десятки OWASP». OWASP. В архиве из оригинала от 9 октября 2013 г.. Получено 13 августа, 2013.
  7. ^ "WHID 2007-60: взломан блог службы безопасности Кембриджского университета". Сиом. Архивировано из оригинал 19 июня 2011 г.. Получено 3 июня, 2011.
  8. ^ "WHID 2009-1: Кибервойна конфликта в Газе". Сиом. Архивировано из оригинал 7 октября 2011 г.. Получено 3 июня, 2011.
  9. ^ [1] В архиве 18 июня 2009 г. Wayback Machine
  10. ^ «Третья волна веб-атак не последняя». Темное чтение. Получено 29 июля, 2012.
  11. ^ Данчев, Данчо (23 января 2007 г.). «Потоки мыслей о знаниях в области информационной безопасности: социальная инженерия и вредоносное ПО». Ddanchev.blogspot.com. В архиве из оригинала 21 июля 2011 г.. Получено 3 июня, 2011.
  12. ^ Дельчев, Крассен. «Новые атаки Web 2.0». B.Sc. Тезис. Рурский университет Бохума. Получено 18 февраля, 2010.
  13. ^ «Как вводить комментарии SQL», Руководство IBM Informix по SQL: синтаксис (PDF), IBM, стр. 13–14., получено 4 июня, 2018
  14. ^ «Извлечение нескольких битов на запрос из уязвимостей полного слепого внедрения SQL». Взломайте все. Архивировано из оригинал 8 июля 2016 г.. Получено 8 июля, 2016.
  15. ^ «Использование SQLBrute для перебора данных из точки слепого внедрения SQL». Джастин Кларк. Архивировано из оригинал 14 июня 2008 г.. Получено 18 октября, 2008.
  16. ^ macd3v. "Учебник по слепому внедрению SQL". Архивировано из оригинал 14 декабря 2012 г.. Получено 6 декабря, 2012.
  17. ^ Андрей Рассохин; Дмитрий Олексюк. «Ботнет TDSS: полное раскрытие». Архивировано из оригинал 9 декабря 2012 г.. Получено 6 декабря, 2012.
  18. ^ «Вопросы для TalkTalk - BBC News». Новости BBC. В архиве с оригинала 26 октября 2015 г.. Получено 26 октября, 2015.
  19. ^ Безопасность, DataSunrise (1 февраля 2019 г.). «Методы обнаружения SQL-инъекций». Безопасность базы данных DataSunrise. Получено 28 августа, 2019.
  20. ^ «Памятка по предотвращению внедрения SQL-кода». Откройте проект безопасности веб-приложений. В архиве с оригинала от 20 января 2012 г.. Получено 3 марта, 2012.
  21. ^ Безопасность, Пента (26 мая 2016 г.). «Что такое SQL-инъекция и как ее предотвратить?». Penta Security Systems Inc. Получено 8 августа, 2019.
  22. ^ "mysqli-> real_escape_string - Руководство по PHP". PHP.net. Получено 11 октября, 2013.
  23. ^ "Добавляющие косые черты - Руководство по PHP". PHP.net. Архивировано из оригинал 5 сентября 2011 г.
  24. ^ «Прозрачный слой запросов для MySQL». Роберт Эйзеле. 8 ноября 2010 г. В архиве с оригинала от 11 ноября 2010 г.
  25. ^ "Отчеты о веб-дырах в догадках". Безопасность. 6 марта 2002 г. В архиве из оригинала от 9 июля 2012 г.
  26. ^ "WHID 2005-46: Подросток использует SQL-инъекцию для взлома веб-сайта журнала по безопасности". Консорциум безопасности веб-приложений. 1 ноября 2005 г. Архивировано с оригинал 17 января 2010 г.. Получено 1 декабря, 2009.
  27. ^ "WHID 2006-3: российские хакеры взломали сайт RI GOV". Консорциум безопасности веб-приложений. 13 января 2006 г. Архивировано с оригинал 13 февраля 2011 г.. Получено 16 мая, 2008.
  28. ^ "WHID 2006-27: SQL-инъекция в incredibleindia.org". Консорциум безопасности веб-приложений. 29 марта 2006 г. Архивировано с оригинал 1 июля 2009 г.. Получено 12 марта, 2010.
  29. ^ Роберт (29 июня 2007 г.). "Хакер обманывает веб-страницу Microsoft в Великобритании". cgisecurity.net. Получено 16 мая, 2008.
  30. ^ Кейт Уорд (29 июня 2007 г.). "Хакер искажает веб-страницу Microsoft в Великобритании". Торговый партнер Redmond Online. Архивировано из оригинал 23 декабря 2007 г.. Получено 16 мая, 2008.
  31. ^ "Анти-американские хакеры проникают на серверы армии". Информационная неделя. 29 мая 2009 года. В архиве с оригинала 20 декабря 2016 г.. Получено 17 декабря, 2016.
  32. ^ а б Самнер Лемон, Служба новостей IDG (19 мая 2008 г.). «Массовая атака с внедрением SQL-кода нацелена на китайские веб-сайты». PCWorld. Получено 27 мая, 2008.
  33. ^ Алекс Пападимулис (15 апреля 2008 г.). «Оклахома утекает десятки тысяч номеров социального страхования и других конфиденциальных данных». Ежедневный WTF. В архиве из оригинала 10 мая 2008 г.. Получено 16 мая, 2008.
  34. ^ Майкл Зино (1 мая 2008 г.). «Атака с автоматическим внедрением SQL-кода в кодировку ASCII / двоичную строку». В архиве с оригинала от 1 июня 2008 г.
  35. ^ Джорджио Маоне (26 апреля 2008 г.). "Часто задаваемые вопросы о массовых атаках". В архиве из оригинала 14 сентября 2008 г.
  36. ^ Грегг Кейзер (25 апреля 2008 г.). «Огромная веб-хакерская атака заражает 500 000 страниц». В архиве с оригинала 19 октября 2015 г.. Получено 16 октября, 2015.
  37. ^ "Американец" украл 130 млн номеров карт'". BBC. 17 августа 2009 г. В архиве с оригинала 18 августа 2009 г.. Получено 17 августа, 2009.
  38. ^ О'Делл, Джоли (16 декабря 2009 г.). «RockYou Hacker - 30% сайтов хранят пароли в виде простого текста». Нью-Йорк Таймс. Получено 23 мая, 2010.
  39. ^ "Атака пиратской бухты". 7 июля 2010 г. В архиве из оригинала от 24 августа 2010 г.
  40. ^ "Маленькие столики Бобби перебрались в Швецию?". Alicebobandmallory.com. В архиве из оригинала от 1 июля 2012 г.. Получено 3 июня, 2011.
  41. ^ Сайт Королевского флота атакован румынским хакером В архиве 9 ноября 2010 г. Wayback Machine Новости BBC, 8-11-10, по состоянию на ноябрь 2010 г.
  42. ^ Сэм Кили (25 ноября 2010 г.). «Супервирус - мишень для кибертеррористов». В архиве из оригинала 28 ноября 2010 г.. Получено 25 ноября, 2010.
  43. ^ «Мы анонимны: внутри хакерского мира LulzSec» (PDF). Литтл, Браун и компания. Архивировано из оригинал (PDF) 18 июля 2012 г.
  44. ^ "MySQL.com взломан". сукури. В архиве из оригинала 31 марта 2011 г.
  45. ^ «Хакер взламывает базу данных Barracuda Networks». Архивировано из оригинал 27 июля 2011 г.
  46. ^ "информация о взломе пароля пользователя сайта". Dslreports.com. В архиве с оригинала 18 октября 2012 г.. Получено 3 июня, 2011.
  47. ^ "DSLReports сообщает, что информация о членах украдена". Cnet Новости. 28 апреля 2011 г. В архиве из оригинала 21 марта 2012 г.. Получено 29 апреля, 2011.
  48. ^ «Взлом DSLReports.com выявил более 100 000 аккаунтов». Технический вестник. 29 апреля 2011 г. Архивировано с оригинал 30 апреля 2011 г.. Получено 29 апреля, 2011.
  49. ^ «LulzSec взламывает Sony Pictures, обнаруживает 1 миллион незащищенных паролей», electronicista.com, 2 июня 2011 г., архивировано из оригинал 6 июня 2011 г., получено 3 июня, 2011
  50. ^ "Imperva.com: PBS взломали - как это, вероятно, сделали хакеры". В архиве из оригинала 29 июня 2011 г.. Получено 1 июля, 2011.
  51. ^ «Wurm Online реструктурируется». 11 мая 2012 г. В архиве из оригинала от 22 мая 2012 г.
  52. ^ Ченда Нгак. «Yahoo, как сообщается, взломан: безопасна ли ваша учетная запись?» В архиве 14 июля 2012 г. Wayback Machine, Новости CBS. 12 июля 2012 г. Проверено 16 июля 2012 г.
  53. ^ Яп, Джейми (12 июля 2012 г.). "450000 паролей пользователей просочились в Yahoo". ZDNet. В архиве из оригинала 2 июля 2014 г.. Получено 18 февраля, 2017.
  54. ^ Перлрот, Николь (3 октября 2012 г.). «Хакеры взламывают 53 университета и сбрасывают в Интернет тысячи личных рекордов». Нью-Йорк Таймс. В архиве из оригинала от 5 октября 2012 г.
  55. ^ «RedHack взламывает сайт администрации Стамбула, хакеры утверждают, что списали долги». В архиве с оригинала от 29 июня 2013 г.
  56. ^ @RedHack_EN (27 июня 2013 г.). "Открыт для взлома. Один из пользователей сайта губернатора Стамбула:" или= 'Pass:' или= 'Сайт: ioi.gov.tr/fatura/login.php pic.twitter.com/ZEHBFJLVfT " (Твитнуть). Архивировано из оригинал 12 августа 2016 г. - через Twitter.
  57. ^ Ковач, Эдуард (4 ноября 2013 г.). "Хакеры утекают данные, предположительно украденные с веб-сайта Китайской торговой палаты". Новости Softpedia. В архиве из оригинала 2 марта 2014 г.. Получено 27 февраля, 2014.
  58. ^ "Утечка 40 000 аккаунтов AVS TV". Maurihackers. В архиве с оригинала 19 февраля 2015 г.. Получено 19 февраля, 2015.
  59. ^ "Форум Организации Объединенных Наций по управлению Интернетом нарушен". 21 февраля 2014 г. Архивировано с оригинал 19 февраля 2015 г.. Получено 19 февраля, 2015.
  60. ^ Ковач, Эдуард (21 февраля 2014 г.). «Подробная информация о 70 000 пользователей, утерянных хакерами из систем SPIROL International». Новости Softpedia. В архиве с оригинала 19 февраля 2015 г.. Получено 19 февраля, 2015.
  61. ^ Танцуй, Скотт (7 марта 2014 г.). «Хакер взламывает сервер Hopkins, но официальные лица говорят, что кража личных данных не вызывает опасений». Балтимор Сан. В архиве из оригинала 14 апреля 2014 г.. Получено 14 апреля, 2014.
  62. ^ Дэймон Поэтер. "Сплоченная" банда русских хакеров накопила 1,2 миллиарда удостоверений личности В архиве 14 июля 2017 г. Wayback Machine, Журнал ПК, 5 августа 2014 г.
  63. ^ Николь Перлрот. Российская банда накопила более миллиарда интернет-паролей В архиве 27 февраля 2017 г. Wayback Machine, Нью-Йорк Таймс, 5 августа 2014 г.
  64. ^ «TalkTalk получает рекордный штраф в размере 400 000 фунтов стерлингов за неспособность предотвратить атаку в октябре 2015 года». 5 октября 2016 г. Архивировано с оригинал 24 октября 2016 г.. Получено 23 октября, 2016.
  65. ^ https://www.stanforddaily.com/2020/08/13/vulnerability-in-link-website-may-have-exposed-data-on-stanford-students-crushes/
  66. ^ Манро, Рэндалл. "XKCD: Подвиги мамы". В архиве из оригинала 25 февраля 2013 г.. Получено 26 февраля, 2013.
  67. ^ "Руководство Bobby Tables по внедрению SQL". В архиве с оригинала 7 ноября 2017 г.. Получено 30 октября, 2017.
  68. ^ "Jego firma ma w nazwie SQL инъекция. Nie zazdrościmy tym, którzy będą go fakturowali;)". Niebezpiecznik (по польски). 11 сентября 2014 г. В архиве из оригинала 24 сентября 2014 г.. Получено 26 сентября, 2014.

внешняя ссылка