SQL-инъекции за 15 минут

10.05.2012

Вернуться к списку новостей  

Возможно, многие хактивисты Anonymous — это дети до 13 лет, которые просто научились нажимать кнопки в определённых программах. По крайней мере, нынешние «хакерские инструменты» настолько просты, что освоить их способен даже ребёнок, пишет Forbes в статье «Теперь каждый может хакнуть сайт благодаря умным бесплатным программам».

Один из специалистов по безопасности, опрошенных изданием Forbes, сказал, что ему понадобилось всего 15 минут, чтобы научить своего 11-летнего сына осуществлять SQL-инъекции. Как известно, SQL-инъекции являются одним из популярных хакерских приёмов, в том числе используется хактивистами Anonymous.

Раньше SQLi осуществлялись вручную и требовали определённых навыков, но теперь появились программы вроде Havij и sqlmap, которые доводят процесс практически до автоматизма и доступны даже ребёнку.

Как результат, увеличивается количество хакеров, говорят специалисты. Утилиты очень широко известны. К примеру, та же Havij была создана всего год назад, но уже стала одним из самых популярных инструментов для автоматизации SQLi атак, включая воровство паролей, email-адресов, номеров кредитных карт и других данных. По информации исследовательской компании Imperva, около 88% всех SQL-инъекций в январе-марте текущего года было осуществлено с помощью Havij или sqlmap.

Например, в прошлом году хакерская группа LulzSec попала в заголовки новостей благодаря взлому PBS и публикации фальшивой статьи во встроенной системе управления контентом этого СМИ. Позже они рассказали, каким образом был осуществлён взлом — оказалось, всё очень просто, использовалась та же программа Havij.

Аналогично, из судебных документов по делу члена хакерской группировки CabinCr3w, которого пытались осудить за кражу конфиденциальной информации о 500 полицейских Солт-Лейк-Сити, известно, что он использовал «автоматизированный скрипт», то есть Havij или sqlmap.

Хактивисты Anonymous также использовали Havij в (неудачной) попытке похитить приватные данные из Ватикана в прошлом августе.

Любой может свободно скачать программу Havij и ввести URL сайта, с которого нужно снять конфиденциальные данные. Программа имеет удобный графический интерфейс, так что освоить её довольно просто. Sqlmap позиционируется как инструмент для тестирования безопасности и работает через командную строку, так что здесь всё-таки нужны некие начальные навыки, но при этом Sqlmap всё равно сильно автоматизирует процесс.

Изначально злоумышленники могут не знать, взломан сайт или нет, но и для этого существуют простые программы Acunetix и Nikto. Первая позиционируется как коммерческий инструмент тестирования сайтов на уязвимости, для неё есть бесплатная версия, а Nikto — вообще open source.

Специалисты по безопасности предупреждают, что Anonymous всё чаще прибегают к воровству конфиденциальной информации вместо использовавшегося раньше DDoS. Дело в том, что сейчас DDoS не привлекает столько внимания прессы, как утечка приватной информации, так что именно утечка является самым болезненным ударом, если вы хотите нанести жертве максимальный урон.

Источник

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними