Security Lab

SQL-инъекция

SQL-инъекция - это вид атаки на веб-приложения и базы данных, при которой злоумышленник вводит вредоносный SQL-код в поля ввода или параметры URL для выполнения нежелательных операций в базе данных. Это может позволить злоумышленнику получить доступ к чувствительной информации, изменить данные или даже удалить данные.

SQL-инъекции возникают, когда веб-приложение не правильно фильтрует или обрабатывает входящие данные, что позволяет злоумышленникам внедрять SQL-запросы и воздействовать на базу данных. Для защиты от SQL-инъекций необходимо использовать параметризованные запросы, проверять и фильтровать входящие данные и следовать лучшим практикам безопасности веб-разработки.

US Radiology заплатит $450 тыс. за игнорирование уязвимости, которая привела к утечке данных

В современном мире бездействие стоит очень дорого.

Sony стала жертвой кибератаки четвёртый раз за последние годы

Подразделение, ответственное за выпуск PlayStation, не выдержало киберпоединка с группой Clop.

Не платили? А зря: новый вирус VenomRATугрожает пользователям WinRAR

Неудачная шутка хакера может обернуться проблемой для более 500 млн. пользователей WinRAR.

Продолжение мыльной оперы с Clop и MOVEit: украдены данные 30 000 клиентов Банка Америки

К победному счету группировки прибавилась фирма Ernst & Young.

Запись за пределами границ - самая опасная уязвимость в ПО по версии США

Правительство США опубликовало список 25 слабых мест ПО, которые приводят к катастрофическим последствиям.

Группа Clop украла конфиденциальную информацию о медиакомпаниях Великобритании

Взлом регулирующего органа через уязвимость MOVEit Transfer помог раскрыть необходимую информацию.

Уязвимость

98% устройств QNAP уязвимы для SQL-инъекций

Компания выпустила обновления, но большинство клиентов их проигнорировали.

75 000 веб-сайтов на WordPress уязвимы для атак хакеров

Всему виной популярный плагин, расширяющий встроенный функционал.

Неизвестное вредоносное ПО терроризирует игорные компании

Новая китайская группировка использует интерпретатор Golang, чтобы избежать обнаружения.

Уязвимости в системах BMW, Mercedes и Ferrari позволяют удаленно управлять автомобилем

Владельцем Ferrari можно стать, не выходя из дома.

Тушим файрволы: исследователи обнаружили новый способ обхода популярных WAF-ов

Способ строится на добавлении JSON к полезной нагрузке SQL-инъекций.

Российские хакеры используют западные сети для кибератак на Украину

«Специалисты работают в сетях незаметно и используют свой доступ для атак на учреждения Украины».

Пользователи Twitter заставили ИИ подчиняться людям

Пользователи смогли взломать бота для поиска удаленной работы, не используя технических средств.

Сервис ShitExpress был взломан клиентом

С помощью SQL-инъекции пользователь получил доступ к базе данных десятков тысяч шутников.

0-day уязвимость платформы электронной коммерции PrestaShop используется в дикой природе

Злоумышленники крадут платежные данные пользователей на странице оформления заказа.

Опасная SQL-инъекция угрожает пользователям веб-фреймворка Django

Разработчики рекомендуют пользователям как можно скорее применить обновление, исправляющее уязвимость.

В даркнете выставлена на продажу SQLi уязвимость на Pickpoint.ru

Уязвимость позволяет получить дамп базы данных сервера, которая содержит персональные данные 4 млн клиентов компании.

В популярных web-приложениях обнаружены серьезные уязвимости

Ошибки позволяют удаленно выполнить код, осуществить SQL-инъекцию и CSRF-атаку.

Эксперт продемонстрировал способ эксплуатации SQL-инъекции в MySQL с помощью LIMIT (обновлено)

Предложенное исследователем решение базируется на известном методе - так называемой «инъекции на основе ошибки».