Эксперты: SQL-инъекции – Ахиллесова пята в системах безопасности крупных IT-компаний

image

Теги: SQL-инъекция, хакеры, взлом

По мнению специалистов, у компаний нет ни кадровых, ни финансовых средств для того, чтобы обезопасить себя от SQL-инъекций.

Аналитик Gartner Авива Литан (Avivah Litan) заявила, что компании недостаточно хорошо защищают себя от SQL-инъекций из-за проблем с ресурсами, как кадровыми, так и финансовыми.

«У компаний нет ни денег, ни ресурсов для того, чтобы решать вопросы, связанные с SQL-инъекциями. Все дело в приоритетах, расставляемых руководством», - заявила эксперт.

Главный технический директор отдела безопасности web-приложений из WhiteHat Security Джеремая Гроссман (Jeremiah Grossman) отметил: «Ваши кодеры должны предоставлять новые возможности для клиентов, которые будут стимулировать доходы в будущем. Они не имеют права останавливаться и прекращать устранять уязвимости в коде, так как это повлечет за собой определенные последствия».

В последнее время хакеры слишком часто используют SQL-инъекции для взлома сетей различных компаний, так как один из самых простых способов нарушения безопасности.

Заявления экспертов об опасности SQL-инъекций стали поступать после начала судебного процесса над пятью русскими хакерами. Им предъявлены обвинения в управлении хакерской организацией, которая в течение 7 лет осуществляла атаки на десятки крупнейших американских и международных корпораций, в хищении и последующей продаже не менее 160 млн номеров кредитных карт и причинению убытков в сотни миллионов долларов США.

Для взлома систем биржевого оператора NASDAQ, ритейлера 7-Eleven Inc., оператора платежной системы Heartland Payment Systems Inc., французского ритейлера Carrefour S.A. и бельгийского банка Dexia Bank Belgium хакеры использовали именно SQl-инъекцию.


или введите имя

CAPTCHA
Bo0oM
26-07-2013 11:38:15
Спасибо кэп. В последнее время хакеры слишком часто используют SQL-инъекции для взломаДа ладно? В последнее время, это год, два, три? А раньше что использовали?
0 |
user
29-07-2013 07:16:25
А раньше что использовали? Пароль по умолчанию. С днём сисадмина.
0 |
20084
26-07-2013 13:47:15
Нет прямых обращений к базе, нет проблем...
0 |
29-07-2013 22:06:58
Кто вам сказал что SQL-инъекции - прямое обращение к базе?
0 |
fgs
29-07-2013 18:55:50
Неужели NASDAQ настолько бедная контора, что не может позволить себе нанять нормальных программистов, а не быдлокодеров, не умеющих в безопасность?
0 |
29-07-2013 22:24:38
Хороших программистов (в основном помимо опыта, это определенный врожденный склад ума) мало. Очень мало. Даже если они все работают в солидных компаниях таких как та что разрабатывала для NASDAQ, это не значит что над этим проектом работали только гении жанра. У кого-то руки кривые найдутся всегда. Даже хороший программист может налепить порой на скорую руку, по тому что он устал или не выспался. Речь идет о том что процесс выявления и исправления таких уязвимостей требует огромных затрат рабочих часов и денег. А проекты такого масштаба и по десяти другим параметрам не влазят в заданные рамки. Авива Литан сказала все верно, все дело в приоритетах.
0 |
Мудрый
29-07-2013 22:17:27
Если SQL-инъекции запретят, а сделать это чрезвычайно легко. то миллионы хакеров, скупщиков трафа, баз соснут.
0 |