Vědec představil způsob jak cracknout databázi Oracle

Jiří Kocourek , 29. duben 2008 08:09 2 komentářů
Rubriky: Security

Internet
David Litchfield, který pracuje jako výzkumný pracovník v oblasti bezpečnosti, prezentoval technické detaily útoku na databázi Oracle. Vědec totiž vymyslel nový způsob, jak získat přístup k souborům dat Oracle. Způsob útoku na databázi vědec nazval jako lateral SQL injection.

SQL injection se dá vysvětlit jako podvržení vstupních dat takovým způsobem, aby nějakým způsobem došlo k pozměnění výsledku SQL dotazu. Když zná útočník strukturu tabulky, nejlépe i SQL dotazů, má potom daleko jednodušší cestu, než kdyby musel odhadovat, které sloupce jsou použity, jaké mají datové typy a jak se jmenují.

Litchfield přišel na to, jak získat administrátorská práva k Oracle serveru za účelem změnit či smazat data nebo nainstalovat nový software. Vědec odhalil své poznatky poprvé už na konferenci Black Hat ve Washingtonu, nyní však přišel s detaily postupu. Experti se dříve domnívali, že SQL injection může fungovat pouze při použití pro databázi charakteristických řetězců, ale Litchfield ukázal, že to lze i při použití nových typů dat známých jako datové a číselné datové druhy.

Zdroj: Researcher finds new way to hack Oracle database


Komentáře

Cayman #1
Cayman 29. duben 2008 09:50

Pěkná hloupost, nejprve bych si ověřil, o čem ten vědec vlastně psal. Taky by stačilo si přečíst některé komentáře k tomu originálnímu článku, aby bylo jasno, že to není žádný problém "bezpečnosti" Oracle dB ;-)

Ta "SQL injection" se netýká jen Oraclu, ale obecně všech databází, kdy rozhoduje jen to, jak je nějaká aplikace naprogramovaná, tj. je za tím jen hloupost programátora a nezabezpečená aplikace.

"It has nothing to do particularly with Oracle, except Oracle's dynamic does SQL give stupid developer's a very easy way to build insecure applications."

Rehak #2
Rehak 30. duben 2008 11:49

Zrejme jste si neprecetl, o cem je ten clanek. Je to novy zpusob sql injekce, na ktery je nachylny pouze Oracle.

"Previously, security experts thought that SQL injections would work only if the attacker was inputting character strings into the database, but Litchfield has shown that the attack can work using new types of data, known as date and number data types. "

RSS 

Komentujeme

V datových centrech už nejde o Windows?

Pavel Houser , 22. březen 2017 12:47
Pavel Houser

Trevor Pott si na The Register pokládá otázku o budoucnosti serverových Windows na platformě ARM. ...

Více






RSS 

Zprávičky

MPO do konce března vypíše výzvu na dotace pro rychlý internet

ČTK , 26. březen 2017 14:00

Ministerstvo průmyslu a obchodu by mělo do konce března vypsat první část výzvy k čerpání evropských...

Více 0 komentářů

YouTube dál ztrácí inzerenty kvůli obavám z kontroverzních videí

ČTK , 26. březen 2017 09:00

Internetový portál pro sdílení videí YouTube dál ztrácí inzerenty kvůli obavám, že jejich reklamy bu...

Více 0 komentářů

Čínská ZTE přiznala nelegální zasílání zboží z USA do Íránu

ČTK , 25. březen 2017 09:00

Čínský výrobce telekomunikačního zařízení ZTE Corp. přiznal před soudem v Texasu vinu, že nelegálně ...

Více 1 komentářů

Starší zprávičky

Bosch a IBM začaly spolupracovat na IoT pro průmysl

Pavel Houser , 24. březen 2017 13:08

Výrobci aut mohou nyní plánovat a organizovat aktualizaci softwaru u milionů vozů....

Více 0 komentářů

Apple čeká na Novém Zélandu vyšetřování kvůli daním

ČTK , 24. březen 2017 13:00

Americkou společnost Apple čeká na Novém Zélandu vyšetřování, navzdory miliardovému obratu tam totiž...

Více 0 komentářů

Huawei a SUSE spolupracují na platformě pro kritické úlohy

Pavel Houser , 24. březen 2017 11:42

SUSE Linux Enterprise Server jako preferovaný standardní OS pro KunLu umožňuje výměnu procesorů a pa...

Více 0 komentářů

Novela zavádí lepší užití informačních systémů veřejné správy

ČTK , 24. březen 2017 08:00

Zákon má mj. zabránit duplicitě informačních systémů a plýtvání penězi při jejich nákupu....

Více 0 komentářů