Vědec představil způsob jak cracknout databázi Oracle

Jiří Kocourek , 29. duben 2008 08:09 2 komentářů
Rubriky: Security

Internet
David Litchfield, který pracuje jako výzkumný pracovník v oblasti bezpečnosti, prezentoval technické detaily útoku na databázi Oracle. Vědec totiž vymyslel nový způsob, jak získat přístup k souborům dat Oracle. Způsob útoku na databázi vědec nazval jako lateral SQL injection.

SQL injection se dá vysvětlit jako podvržení vstupních dat takovým způsobem, aby nějakým způsobem došlo k pozměnění výsledku SQL dotazu. Když zná útočník strukturu tabulky, nejlépe i SQL dotazů, má potom daleko jednodušší cestu, než kdyby musel odhadovat, které sloupce jsou použity, jaké mají datové typy a jak se jmenují.

Litchfield přišel na to, jak získat administrátorská práva k Oracle serveru za účelem změnit či smazat data nebo nainstalovat nový software. Vědec odhalil své poznatky poprvé už na konferenci Black Hat ve Washingtonu, nyní však přišel s detaily postupu. Experti se dříve domnívali, že SQL injection může fungovat pouze při použití pro databázi charakteristických řetězců, ale Litchfield ukázal, že to lze i při použití nových typů dat známých jako datové a číselné datové druhy.

Zdroj: Researcher finds new way to hack Oracle database


Komentáře

Cayman #1
Cayman 29. duben 2008 09:50

Pěkná hloupost, nejprve bych si ověřil, o čem ten vědec vlastně psal. Taky by stačilo si přečíst některé komentáře k tomu originálnímu článku, aby bylo jasno, že to není žádný problém "bezpečnosti" Oracle dB ;-)

Ta "SQL injection" se netýká jen Oraclu, ale obecně všech databází, kdy rozhoduje jen to, jak je nějaká aplikace naprogramovaná, tj. je za tím jen hloupost programátora a nezabezpečená aplikace.

"It has nothing to do particularly with Oracle, except Oracle's dynamic does SQL give stupid developer's a very easy way to build insecure applications."

Rehak #2
Rehak 30. duben 2008 11:49

Zrejme jste si neprecetl, o cem je ten clanek. Je to novy zpusob sql injekce, na ktery je nachylny pouze Oracle.

"Previously, security experts thought that SQL injections would work only if the attacker was inputting character strings into the database, but Litchfield has shown that the attack can work using new types of data, known as date and number data types. "


RSS 

Komentujeme

Chatbot mluví za mrtvého – od nápadu k realizaci

Pavel Houser , 30. listopad 2016 13:00
Pavel Houser

Na webu The Verge popsala Casey Newton příběh dvou přátel (Eugenia Kuyda a Roman Mazurenko). Peripet...

Více





Kalendář


RSS 

Zprávičky

CETIN vydal dluhopisy za 25 miliard Kč

ČTK , 05. prosinec 2016 18:00

Česká telekomunikační infrastruktura (CETIN) upsala dluhopisy v eurech a korunách v celkovém objemu ...

Více 0 komentářů

Nahradí otisky prstů přístupová hesla?

ČTK , 05. prosinec 2016 14:30

Zní to jako skvělý nápad: zapomeňte na hesla a zamykejte telefon místo nich otiskem svého prstu. Je ...

Více 1 komentářů

Počítač a internet má na jižní Moravě více než 75 pct domácností

ČTK , 05. prosinec 2016 10:30

Počet jihomoravských domácností, které mají počítač a přístup k internetu, se loni přehoupl na jižní...

Více 0 komentářů

Starší zprávičky

Vodafone zvýšil do září počet zákazníků na 3,54 milionu

ČTK , 04. prosinec 2016 18:00

Mobilní operátor Vodafone zvýšil do konce září počet zákazníků na českém trhu meziročně o 146.000 na...

Více 0 komentářů

Nový škodlivý program ukradl údaje k milionu účtů Google

ČTK , 02. prosinec 2016 14:00

Nový škodlivý program Goolian narušil bezpečnost více než jednoho milionu účtů Google. Šíří se na za...

Více 1 komentářů

Telefony Nokia se příští rok vrátí na trh

ČTK , 02. prosinec 2016 10:30

Chytré telefony se značkou Nokia se objeví zpátky na trhu v příštím roce. Finská společnost Nokia dn...

Více 2 komentářů

CETIN nabídne příští rok operátorům připojení až 250 Mbit/s

ČTK , 01. prosinec 2016 17:00

Společnost Česká telekomunikační infrastruktura (CETIN) zvýší od května příštího roku rychlost inter...

Více 0 komentářů