Știți care este, la ora actuală, cel mai frecvent risc de securitate la care este expusă compania voastră? Vă spunem noi: atacurile SQL injection

Conform datelor furnizate de Akamai Intelligent Platform, din cele 130.946.110 de atacuri web înregistrate în perioada 13.05 - 20.05. 2019, 91,7% au fost de tipul SQLi.

Este explicabil deci de ce OWASP, una dintre cele mai importante resurse independente în domeniul securității IT, plasează în mod constant „injecțiile“ pe primul loc în „Top 10 security attacks“.

Și o face deja de câțiva ani, pentru că SQLi reprezintă, de fapt, o resursă inepuizabilă pentru hackeri. În plus, nu necesită competențe IT avansate – există mii de tutoriale online despre cum se poate lansa un atac SQL –, iar oferta de unelte dedicate este tot mai diversificată (de la tradiționalele Havij și sqlmap, până la mai recentele SQLNinja, Safe3SI sau BSQL Hacker).
Practic, cu puțină perseverență, oricine se poate transforma într-un „script kiddie“ capabil să compromită un site. Troy Hunt – Microsoft Regional Director Australia și MVP pe zona Developer Security – chiar a realizat un clip (1) în care arată cum fiul său în vârstă de trei ani (!!!) învață să facă o „injecție“ SQL.

Evident că există și măsuri de protecție împotriva acestui tip de amenințări, cunoscute de aproape două decenii. Teoretic, orice programator serios, care a trecut măcar printr-un curs de pregătire complet, ar trebuie să știe cum să blocheze din start sau măcar să atenueze posibilele vulnerabilități ale unui site sau ale unei aplicații web în fața unui atac SQL.

Problema e însă că resursa umană în domeniul IT este din ce în ce mai limitată numeric, dar și... calitativ.
Prin urmare, „Do more with less“ este politica zilei.
Și lucrul acesta se vede – site-urile și aplicațiile sunt lansate pe bandă, cât mai repede posibil, fără a se mai pune accentul pe protejarea lor. Iar din cauza escaladării prețurilor, companiile se văd nevoite să lucreze cu „freelanceri“ care nu au un background solid în zona de securitate.

Și pentru ca situația să fie și mai complicată, periodic apar noi vulnerabilități. De exemplu, în aprilie anul acesta a apărut o avertizare că 800.000 de site-uri care utilizează plugin-ul Duplicate-Page din WordPress sunt expuse riscului unei „injecții“ SQL. Tot luna trecută s-au mai adăugat alte peste 400.000 de site-uri WordPress vulnerabile la atac ca urmare a utilizării plugin-ului Google Maps.
Astfel de probleme apar însă și la companiile mari – IBM și Oracle au publicat recent mai multe patch-uri împotriva atacurilor SQLi. Iar CERT SUA a lansat o avertizare asupra vulnerabilităților descoperite în software-ul SiteOmat, utilizat pentru managementul alimentării cu carburanți de Shell, British Petroleum și alte nume mari din domeniu, printre care se regăsește și Petrom. (2)

În acest context, ar fi sănătos să vă puneți periodic întrebarea „Cât de imun este site-ul companiei mele în fața amenințărilor SQLi?“, să faceți testele de penetrare recomandate și să luați măsurile care se impun.

În cazul în care aceste proceduri depășesc competențele tehnice pe care le dețineți intern, specialiștii PRAS vă stau la dispoziție. Avem experiență și competențe certificate în domeniul securității IT – nu trebuie decât să ne contactați.


1 - „Hacking is child's play“

2 - Informații detaliate și actualizate puteți găsi pe „SQLi Hall-of-Shame“.