SQL-инъекция
SQL-инъекции возникают, когда веб-приложение не правильно фильтрует или обрабатывает входящие данные, что позволяет злоумышленникам внедрять SQL-запросы и воздействовать на базу данных. Для защиты от SQL-инъекций необходимо использовать параметризованные запросы, проверять и фильтровать входящие данные и следовать лучшим практикам безопасности веб-разработки.
Где кванты и ИИ становятся искусством?
На перекрестке науки и фантазии — наш канал
5,5 млн попыток взлома: плагин WP Automatic стал обузой для 30 000 сайтов WordPress
Хакеры тщательно скрывают следы атаки и предотвращают конкуренцию.
Брешь в LayerSlider: более 1 млн сайтов визуально привлекательны, но абсолютно беззащитны
Как простой WordPress-плагин способен подорвать веб-безопасность вашего продукта.
Уязвимость
Хакеры получили ключ к FortiClient EMS: PoC-эксплоит в открытом доступе
Администраторам нужно принять меры для защиты корпоративных систем.
OpenAI признала: GPT-4 может самостоятельно взломать любой сайт
GPT-4 лучше и дешевле пентестеров в поиске уязвимостей.
US Radiology заплатит $450 тыс. за игнорирование уязвимости, которая привела к утечке данных
В современном мире бездействие стоит очень дорого.
Sony стала жертвой кибератаки четвёртый раз за последние годы
Подразделение, ответственное за выпуск PlayStation, не выдержало киберпоединка с группой Clop.
Не платили? А зря: новый вирус VenomRATугрожает пользователям WinRAR
Неудачная шутка хакера может обернуться проблемой для более 500 млн. пользователей WinRAR.
Продолжение мыльной оперы с Clop и MOVEit: украдены данные 30 000 клиентов Банка Америки
К победному счету группировки прибавилась фирма Ernst & Young.
Запись за пределами границ - самая опасная уязвимость в ПО по версии США
Правительство США опубликовало список 25 слабых мест ПО, которые приводят к катастрофическим последствиям.
Группа Clop украла конфиденциальную информацию о медиакомпаниях Великобритании
Взлом регулирующего органа через уязвимость MOVEit Transfer помог раскрыть необходимую информацию.
98% устройств QNAP уязвимы для SQL-инъекций
Компания выпустила обновления, но большинство клиентов их проигнорировали.
75 000 веб-сайтов на WordPress уязвимы для атак хакеров
Всему виной популярный плагин, расширяющий встроенный функционал.
Неизвестное вредоносное ПО терроризирует игорные компании
Новая китайская группировка использует интерпретатор Golang, чтобы избежать обнаружения.
Уязвимости в системах BMW, Mercedes и Ferrari позволяют удаленно управлять автомобилем
Владельцем Ferrari можно стать, не выходя из дома.
Тушим файрволы: исследователи обнаружили новый способ обхода популярных WAF-ов
Способ строится на добавлении JSON к полезной нагрузке SQL-инъекций.
Российские хакеры используют западные сети для кибератак на Украину
«Специалисты работают в сетях незаметно и используют свой доступ для атак на учреждения Украины».
Пользователи Twitter заставили ИИ подчиняться людям
Пользователи смогли взломать бота для поиска удаленной работы, не используя технических средств.
Сервис ShitExpress был взломан клиентом
С помощью SQL-инъекции пользователь получил доступ к базе данных десятков тысяч шутников.
0-day уязвимость платформы электронной коммерции PrestaShop используется в дикой природе
Злоумышленники крадут платежные данные пользователей на странице оформления заказа.
Опасная SQL-инъекция угрожает пользователям веб-фреймворка Django
Разработчики рекомендуют пользователям как можно скорее применить обновление, исправляющее уязвимость.
В даркнете выставлена на продажу SQLi уязвимость на Pickpoint.ru
Уязвимость позволяет получить дамп базы данных сервера, которая содержит персональные данные 4 млн клиентов компании.
В популярных web-приложениях обнаружены серьезные уязвимости
Ошибки позволяют удаленно выполнить код, осуществить SQL-инъекцию и CSRF-атаку.
Эксперт продемонстрировал способ эксплуатации SQL-инъекции в MySQL с помощью LIMIT (обновлено)
Предложенное исследователем решение базируется на известном методе - так называемой «инъекции на основе ошибки».
Организации страдают от атак с использованием SQL-инъекций, но не предотвращают их
52% опрашиваемых заявили, что они не принимают никаких мер предосторожности от взлома.
Обновление для Joomla устраняет уязвимость нулевого дня
По данным исследователей из Sucuri, информация о SQL-инъекции в CMS была обнародована еще месяц назад.
Группа хакеров похитила $100 тысяч с помощью SQL-инъекции
Злоумышленники опубликовали видео с демонстрацией атаки на сайт провайдера Sebastian.
Эксперты: Уязвимости в web-сайтах – обычное дело
Бреши в сайтах позволяют осуществлять подделку межсайтовых запросов (CSRF), межсайтовый скриптинг (XSS), а также SQL-инъекции.
Эксперты: SQL-инъекции – Ахиллесова пята в системах безопасности крупных IT-компаний
По мнению специалистов, у компаний нет ни кадровых, ни финансовых средств для того, чтобы обезопасить себя от SQL-инъекций.
Эксперты опубликовали подробности исправленной в январе уязвимости в PayPal
Специалисты Vulnerability Laboratory получили $3 тысячи за обнаруженную ими SQL-инъекцию в web-приложении платежного сервиса.
Anonymous атаковали сайт компании, причастной к гражданской войне в Конго
Хакеры осуществили взлом после обнаружения на сайте SQL-инъекции.
На web-сайте Министерства обороны США найдена SQL-инъекция
Заявление об уязвимости в поддомене jieddo.dod.mil сделал хакер под псевдонимом Zer0Pwn.
Администрация аэропорта в Дюссельдорфе закрыла бреши в безопасности
Согласно уведомлению на портале Vulnerability Lab, авиакомпания закрыла уязвимости в безопасности своего web-сайта.
Эксперты обнаружили SQL-инъекцию нового типа
ИТ-компания Armorize сообщает об обнаружении нового типа атак типа SQL-инъекции, совершаемых на ряд работающих в интернете веб-сайтов.
Сайт MySQL взломали с помощью SQL-инъекции
Румынские хакеры TinKode и Ne0h опубликовали данные, собранные ими в результате взлома сайтов mysql.com и sun.com.
Обнаружены попытки взлома шведской избирательной системы
Блоггер Йонас Эльфстрeм обнаружил, по меньшей мере, одну попытку взлома системы подсчета голосов – некий технически подкованный избиратель внес в бюллетень специальный запрос на языке управления базами данных SQL.
Ботнет Asprox заражает веб-сайты
Исследователи M86 Security предупреждают, что недавно проснувшийся ботнет Asprox не ограничился рассылкой спама и приступил к заражению веб-сайтов, чтобы расширить свои владения.
Рейд австралийской киберполиции завершился провалом
Австралийская федеральная полиция предприняла попытку взять с поличным целую сеть киберпреступников. Из-за некомпетентных действий полиции подозреваемые заранее узнали о предстоящем рейде, а также совершили ответный взлом полицейских серверов.
Хакеры атаковали и заразили сайт Adobe
Хакерами был атакован центр поддержки VlogIT (http://www.adobe.com/support/vlogit/), злоумышленникам удалось разместить на сайте троян Mal/Badsrc-C, который позволяет создавать бот-сети.
Sophos: BusinessWeek взломали Российские хакеры
При инфицировании BusinessWeek.com злоумышленники прибегли к атаке типа SQL-инъекция, когда в СУБД на сайте был внедрен код в виде ссылки на javascript-файл, вызывающей злонамеренный код, причем вызов и исполнение кода происходили на клиентском компьютере, но совершенно незаметно для пользователя.
Турецкие хакеры атаковали сайт "Лаборатории Касперского"
Злоумышленникам удалось совершить дефейс главной страницы сайта ЛК. Как пишут сами хакеры, был получен доступ к бэк-энду онлайн-магазина сайта и нескольким сайтам, расположенным в субдоменах Лаборатории.
Microsoft выпустила инструментарий защиты и обнаружения SQL-инъекций
Вышедший набор включает программу URLScan 3.0, находящуюся на стадии бета-версии, а также Microsoft Source Code Analyzer for SQL Injection (MSCASI), доступную со статусом Community Technology Preview.
ScanSafe: Мошенники все чаще взламывают сайт для размещения вредоносного ПО
По данным компании ScanSafe, 68% источников зломанамеренного ПО, обнаруженного в мае 2008 года, были расположены на легитимных сайтax различных компаний.
Сайт МВД Британии взломан фишерами
«Этот инцидент представляет неудобство для Министерства внутренних дел. Это похоже на ту ситуацию, если бы карманные воры прятали украденные кошельки в местном полицейском участке», - сказал Жак Эрасмус (Jacques Erasmus), эксперт из Prevx.
Тысячи китайских сайтов взломаны при помощи SQL-инъекции
По данным на вечер пятницы Armorize Technologies зафиксировала около 10 000 взломанных китайских сайтов, на каждом из которых содержалось вредоносное ПО.
Microsoft не виновата в массовом взломе сайтов
По словам Уильям Сиск, менеджер Microsoft Security Response Center, в своем блоге пишет: "Наше расследование показало, что в продуктах нет новых или неизвестных уязвимостей, которые были использованы злоумышленниками."
White Hat Security: 90% популярных сайтов имеют уязвимости
White Hat Security сообщает, что 9 из 10 популярных сайтов имеют уязвимости. В результате сканирования разных публичных веб-ресурсов было обнаружено в среднем по 7 уязвимостей на каждом.
Хакеры взломали сайт RIAA
Неизвестные хакеры взломали сайт звукозаписывающей ассоциации США и стерли все его содержимое.
В Интернете зафиксирована массовая атака против веб-сайтов
За несколько дней киберпреступникам удалось поразить свыше 70 тысяч веб-страниц, расположенных в различных доменных зонах, в том числе .edu и .gov.