Yeni Bir Database Saldırısı
DB güvenlik uzmanı David Litchfield DB’ler için yeni saldırı tekniği geliştirildiğini duyurdu. Bu teknik "Yanal SQL Injection" olarak tabir ediliyor ve db’lere bazı kodlar sızdırarak tam erişim için yeni bir yol yapabilmek mümkün bu yöntemle.
Fakat bu yöntem sanıldığı kadar kolay bir yöntem değil. Sadece korumasız DB’ler için sınırlı koşullarda etkili olabiliyor.
David, bu yöntemin ayrıntılarını ilk defa geçen Şubat ayında Washington’daki "Siyah Şapkalılardan Korunma" adlı konferansında açıkladı.
Bu yöntemin işleyiş şeması kısaca şöyle: Hacker hedef DB’ye çeşitli kodları ard arda yollayarak bir çatlak bulmaya çalışır. Bu yöntem uygulanırken verinin diğer formlarında kullanılan temanın değişkeniymiş gibi davranır. Yada klasik SQL saldırılarında olduğu gibi kullanıcı adı girişlerinde de aynı saldırı gerçekleştirilebilir. David’e göre bu açık çok fazla sömürülecek bir açık değil.
Açığın güncel korunumu için "SYSDATE" kullanımından kaçınmak yeterli.
|