Vědec představil způsob jak cracknout databázi Oracle

Jiří Kocourek , 29. duben 2008 08:09 2 komentářů
Rubriky: Security

Internet
David Litchfield, který pracuje jako výzkumný pracovník v oblasti bezpečnosti, prezentoval technické detaily útoku na databázi Oracle. Vědec totiž vymyslel nový způsob, jak získat přístup k souborům dat Oracle. Způsob útoku na databázi vědec nazval jako lateral SQL injection.

SQL injection se dá vysvětlit jako podvržení vstupních dat takovým způsobem, aby nějakým způsobem došlo k pozměnění výsledku SQL dotazu. Když zná útočník strukturu tabulky, nejlépe i SQL dotazů, má potom daleko jednodušší cestu, než kdyby musel odhadovat, které sloupce jsou použity, jaké mají datové typy a jak se jmenují.

Litchfield přišel na to, jak získat administrátorská práva k Oracle serveru za účelem změnit či smazat data nebo nainstalovat nový software. Vědec odhalil své poznatky poprvé už na konferenci Black Hat ve Washingtonu, nyní však přišel s detaily postupu. Experti se dříve domnívali, že SQL injection může fungovat pouze při použití pro databázi charakteristických řetězců, ale Litchfield ukázal, že to lze i při použití nových typů dat známých jako datové a číselné datové druhy.

Zdroj: Researcher finds new way to hack Oracle database


Komentáře

Cayman #1
Cayman 29. duben 2008 09:50

Pěkná hloupost, nejprve bych si ověřil, o čem ten vědec vlastně psal. Taky by stačilo si přečíst některé komentáře k tomu originálnímu článku, aby bylo jasno, že to není žádný problém "bezpečnosti" Oracle dB ;-)

Ta "SQL injection" se netýká jen Oraclu, ale obecně všech databází, kdy rozhoduje jen to, jak je nějaká aplikace naprogramovaná, tj. je za tím jen hloupost programátora a nezabezpečená aplikace.

"It has nothing to do particularly with Oracle, except Oracle's dynamic does SQL give stupid developer's a very easy way to build insecure applications."

Rehak #2
Rehak 30. duben 2008 11:49

Zrejme jste si neprecetl, o cem je ten clanek. Je to novy zpusob sql injekce, na ktery je nachylny pouze Oracle.

"Previously, security experts thought that SQL injections would work only if the attacker was inputting character strings into the database, but Litchfield has shown that the attack can work using new types of data, known as date and number data types. "

RSS 

Komentujeme

Jak probíhá adopce cloudu

Pavel Houser , 16. únor 2018 09:45
Pavel Houser

Cloud už neznamená jen SaaS, jenže… K dispozici je řada analýz i prognóz, které dokládají, jak se po...

Více








RSS 

Zprávičky

E-shopy likvidují už i kamenné obchody s obuví

ČTK , 19. únor 2018 13:13

Problémy mají i řetězce. Lidé si on-line objednávají šest párů bot, jedny si nechají a ostatní pošlo...

Více 1 komentářů

O2 navrhne valné hromadě výplatu akcionářům 21 Kč na akcii

ČTK , 19. únor 2018 08:00

Celkově by firma vyplatila na dividendách 5,274 miliardy Kč, tedy 98 % loňského čistého zisku....

Více 0 komentářů

Piezoelektrický jev u jednotlivých molekul umožní nanogenerátory elektrické energie

Pavel Houser , 18. únor 2018 08:00

Piezoelektrický jev odpovídá za vznik elektrického napětí v závislosti na vnějším mechanickém namáhá...

Více 0 komentářů

Starší zprávičky

Také USA obvinily Rusko, že má na svědomí velký loňský kyberútok

ČTK , 17. únor 2018 08:00

Po Británii i Spojené státy obvinily ruskou vládu, že stojí za vlnou kybernetických útoků, která lon...

Více 2 komentářů

Lékařům nebudou letos hrozit pokuty za předpis papírového receptu

ČTK , 16. únor 2018 10:00

"Chceme mít rok na odladění systému a jeho vylepšení," řekl ministr zdravotnictví Adam Vojtěch....

Více 0 komentářů

Jourová: Facebook a Twitter musejí v ochraně spotřebitelů přidat

ČTK , 16. únor 2018 09:00

Nedostatky prý neodstranil zejména Twitter, naopak změny Google+ se zdají být v souladu s unijními p...

Více 0 komentářů

Senátoři se postavili proti nadměrným sankcím kvůli GDPR

ČTK , 16. únor 2018 08:00

Pokuty musí být vždy přiměřené s tím, že dolní sazba pokuty přitom zcela jistě bude nulová," uvedl m...

Více 0 komentářů