SQL инъекции - внедрение кода sql для взлома сайта
|
|
18.02.2011 19:45 |
Мне показалось это очень интересным. Пишу я значит новости на сайте магазина, так чтобы оживить сайт. Вообще это надо делать каждый день, иногда хочется узнать какие из новостей попали в индекс поисковых систем. Гуггл показал новость уже на следующий день, а яндекс немного тормозит и показывает новости с задержкой в 2-3 дня, но все равно не плохо, может еще быстрее получится. На некоторых сайтах страницы месяцами в поиск не попадают, если совсем брошенный.
Вообщем иногда смотрю что попало в поиск, вот и тогда искал я новость, а нашел инфу, как из сайта магазина одной ссылкой вывернули пароли для админки.. Ссылку я конечно не покажу, клиент хочет остаться анонимный. Но вот на одно слово в моем словаре стало больше - "SQL инъекция". Это делается например так, есть старый движок, на котором работает магазин. Переходить на новый движок - это легче сделать магазин заново, а это долго и сложно, работает сайт и хорошо, а там видно будет. Только вот в старых движках столько дыр, столько уязвимостей, это может плохо кончится.
SQL инъекцию можно сделать одной ссылкой, прямо в адресной строке набрать последовательность символов, и обработчик выдаст результат - в моем случае это были все пароли пользователей суперадминистраторов root. Так можно конечно взломать любой ресурс, если знать форму запроса. Вот есть же гениальные люди, одной строчкой взломали мне сайт, и еще пароли все на форуме опубликовали, с примером ссылки для взлома, любой мог просто потереть мне все данные. Пришлось попросить залатать эту дырку уязвимость, но кто знает сколько там еще таких осталось,
|
Веб-дизайнер Роман Шумейко
