Vědec představil způsob jak cracknout databázi Oracle

Jiří Kocourek , 29. duben 2008 08:09 2 komentářů
Rubriky: Security

Internet
David Litchfield, který pracuje jako výzkumný pracovník v oblasti bezpečnosti, prezentoval technické detaily útoku na databázi Oracle. Vědec totiž vymyslel nový způsob, jak získat přístup k souborům dat Oracle. Způsob útoku na databázi vědec nazval jako lateral SQL injection.

SQL injection se dá vysvětlit jako podvržení vstupních dat takovým způsobem, aby nějakým způsobem došlo k pozměnění výsledku SQL dotazu. Když zná útočník strukturu tabulky, nejlépe i SQL dotazů, má potom daleko jednodušší cestu, než kdyby musel odhadovat, které sloupce jsou použity, jaké mají datové typy a jak se jmenují.

Litchfield přišel na to, jak získat administrátorská práva k Oracle serveru za účelem změnit či smazat data nebo nainstalovat nový software. Vědec odhalil své poznatky poprvé už na konferenci Black Hat ve Washingtonu, nyní však přišel s detaily postupu. Experti se dříve domnívali, že SQL injection může fungovat pouze při použití pro databázi charakteristických řetězců, ale Litchfield ukázal, že to lze i při použití nových typů dat známých jako datové a číselné datové druhy.

Zdroj: Researcher finds new way to hack Oracle database


Komentáře

Cayman #1
Cayman 29. duben 2008 09:50

Pěkná hloupost, nejprve bych si ověřil, o čem ten vědec vlastně psal. Taky by stačilo si přečíst některé komentáře k tomu originálnímu článku, aby bylo jasno, že to není žádný problém "bezpečnosti" Oracle dB ;-)

Ta "SQL injection" se netýká jen Oraclu, ale obecně všech databází, kdy rozhoduje jen to, jak je nějaká aplikace naprogramovaná, tj. je za tím jen hloupost programátora a nezabezpečená aplikace.

"It has nothing to do particularly with Oracle, except Oracle's dynamic does SQL give stupid developer's a very easy way to build insecure applications."

Rehak #2
Rehak 30. duben 2008 11:49

Zrejme jste si neprecetl, o cem je ten clanek. Je to novy zpusob sql injekce, na ktery je nachylny pouze Oracle.

"Previously, security experts thought that SQL injections would work only if the attacker was inputting character strings into the database, but Litchfield has shown that the attack can work using new types of data, known as date and number data types. "

RSS 

Komentujeme

AI i její tvůrci před soudem

Pavel Houser , 22. duben 2018 09:30
Pavel Houser

John Kingston z anglické University of Brighton poskytl pro The Register svůj pohled na právní odpov...

Více







RSS 

Zprávičky

Před 25 lety byl zpřístupněn webový prohlížeč Mosaic

ČTK , 21. duben 2018 15:22

Mosaic se zrodil v průběhu roku 1992 v hlavě Marca Andreessena a jeho kolegy Erica Biny....

Více 0 komentářů

Těžba bitcoinů při kurzu pod 8 600 dolarů je ztrátová

ČTK , 20. duben 2018 11:21

Analytici se domnívají, že poptávka po hardwaru pro těžbu bitcoinů dál klesne, stejně jako cena kryp...

Více 0 komentářů

Netflixu prudce stoupají příjmy i počet odběratelů

ČTK , 20. duben 2018 09:36

Čistý zisk ve čtvrtletí stoupl na 290,1 milionu dolarů, neboli 64 centů na akcii....

Více 0 komentářů

Starší zprávičky

Zájem o přijímače s digitálním rádiem je minimální

ČTK , 20. duben 2018 08:00

Český rozhlas na konci loňského roku rozšířil pokrytí digitálním signálem na 40 % populace....

Více 3 komentářů

eMan vykupuje zpět podíl Jablotronu

Pavel Houser , 19. duben 2018 14:32

Strategie obou společností se po více než 2 letech propojení rozcházejí, kontrolu nad firmou získáva...

Více 0 komentářů

Facebook reaguje na nové normy EU, cílená reklama ale nepřestane

ČTK , 19. duben 2018 10:26

Facebook se začal dotazovat svých uživatelů, zda může v jejich fotografiích a videích používat techn...

Více 2 komentářů

Ruské úřady vs. Telegram

ČTK , 19. duben 2018 08:00

Začaly se objevovat informace o rozsáhlých výpadcích služeb, které se sporem nijak nesouvisejí....

Více 0 komentářů