Hackere stjal brugerdata fra MySQL.com - via SQL-injektion

Det er lykkedes hackere at få adgang til at stjæle brugerdata fra MySQLs websted ved hjælp af en SQL-injektionssårbarhed. Også Suns hjemmeside blev ramt.

Ved hjælp af et SQL-injektionsangreb har hackere stjålet brugerdata fra MySQL's websted, MySQL.com.

Brugernes brugernavn og adgangskode blev efterfølgende gjort tilgængelige på hjemmesiden pastebin.com. Det skriver sikkerhedsrådgiver Chester Wisniewski fra sikkerhedsfirmaet Sophos på bloggen Naked Security.

I angrebet fik hackerne også adgang til MySQL's moderselskab Sun/Oracle. Her fik de dog kun fat i en række e-mailadresser men ingen adgangskoder.

SQL-injektioner er en udbredt metode til at få utilsigtet adgang til databasen bag en webapplikation. Det er en type sikkerhedsbrist, som typisk opstår i en webapplikation i kraft af manglende validering af input fra browseren.

Det kan eksempelvis ske ved at hæfte ekstra SQL-kommandoer på en ellers harmløs tekststreng, som derefter fortolkes af webapplikationen som en kommando, der kan give adgang til dele af databasen, som ellers skulle være skjult.

Chester Wisniewski understreger, at der ikke er tale om sikkerhedsbrister i selve MySQL-softwaren, men om fejl i implementeringen af softwaren på de to hjemmesider.

»At sikre din hjemmeside mod SQL injektioner er en essentiel praksis på linje med at bruge sikre kodeord,« skriver Chester Wisniewski.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Klavs Klavsen

Sørgeligt at se, at endda programmører hos MySQL/Sun (sitet var jo lavet før Oracle kom til som ejer) ikke har et begreb skabt om at tænke sikkerhed/stabilitet ind i deres kode.

Det er desværre forventeligt - det ligger åbenbart ikke i programmør kulturen generelt (virker det som) at tænke på input validering/principle of least privilege.

Jeg formoder at ingen programmør uddannelser har dette emne bygget ind i deres programmeringskurser og "grader" med også dette i mente?

For at komme med en bil-analogi: Den bil du har designet kører fint - så længe det ikke lige er for fugtigt, skidt i benzinen etc.

I den fysiske verden har man i mange år vænnet sig til at håndtere alle disse fejlkilder, men når det gælder software, så forundres man stadig over at dem.

  • 0
  • 0
#5 Deleted User

Jeg tror ikke der findes en programmøruddannelse der ikke underviser dig i basal sikkerhed som det her.

Der er jo heller ingen andre end helt grønne nybegyndere der ikke ved at de skal sikre deres input. Nogle gange svipser den bare alligevel fordi folk er dovne og dumme. Det er ikke uddannelsernes skyld.

  • 0
  • 0
#7 Klavs Klavsen

Jeg er selv datamatiker og kan bekræfte at der ihvertfald ikke var skyggen af undervisning i den slags :)

De steder hvor man underviser i det, er det også spørgsmålet om man rent faktisk i gradueringen af programmeringsopgaver, også medtager hvorledes (og om) den studerende har tænkt sikkerheden ind i sin opgave.

Det kan selvf. også være at der problemer som nævnt i artiklen her, i høj grad er et udtryk for alle de selvlærte i branchen generelt (eller mangel på "sikkerhedsomtanke" i uddannelserne i andre lande)

  • 0
  • 0
Log ind eller Opret konto for at kommentere