数週間前、私は次のタイトルの記事を公開しました。SQL インジェクション攻撃: それは何ですか?」と、誰もが知っていることを真剣に考えているので、あまり深入りせずに...
ここ数週間で考えを変える必要がありました。
実際、多くの人が私に連絡して説明を求め、同様の攻撃が実行される可能性について信じていません。
もちろん、あなたは次のように言うでしょう。 「しかし、彼らはどこの星から来たのですか?。私は判断しているわけではありません。 私自身も、人によっては多かれ少なかれ平凡なことですが、聞いたこともなかった事柄を毎日発見します。.
主な質問は、この攻撃の実際の可能性に焦点を当てています。 「例を挙げてもらえますか?」、彼らは私に尋ねます...
ここで、前の記事ですでに述べたこと以上のことを書く必要があります。技術的な観点からではなく、いくつかの攻撃を思い出してください。
たとえば、 によって公表された事件 2009 年の情報週間。おそらくトルコ起源のハッカーグループ、 ムステッドは、陸軍弾薬工場(オクラホマ州マカレスターにあるマカレスター弾薬工場)のウェブサイトと、ウィンチェスターにある米陸軍工兵隊大西洋横断センターのウェブサイトを攻撃した。
公開された内容によると、ハッカーは次の手法を使用しました。 SQLインジェクション Microsoft の SQL サーバー データベースの脆弱性を悪用して Web サイトにアクセスします。
ハッカーはアクセスを獲得すると、米国とイスラエルに対するメッセージを挿入することで一部のページを変更しました。
別のケースを見てみましょう。数年後の 2011 年、ソニー ピクチャーズも同様の攻撃を受けました。 PlayStation ネットワーク上の約 77 万のアカウントが侵害され、推定被害額は約 170 億 XNUMX 万ドルになりました。ハッカーはユーザー データベースとクレジット カードを含む個人データにアクセスすることに成功しました。この場合、ソニーは責任を負った 匿名の クレジットカードデータの盗難の容疑者だが、その事件については責任がないと公言した。
SQLi であるため、当然ながら、最も危険にさらされるのは大規模なデータベースを使用するシステムです。電子メールプロバイダーなどの通信会社のデータベースよりも大きいものは何でしょうか?
実際、2012 年は Yahoo! の番です。として知られるハッカーグループ D33D Yahoo のインフラストラクチャに対する攻撃の犯人と考えられるのは、この攻撃で約 400.000 のアカウントが侵害されたということです。
もっと最近の例を続けることもできますが、このタイプの攻撃は今でも最もよく使われている攻撃の 1 つであり、プログラマーやデータベース管理者は歴史からあまり学んでいないように見えることを皆さんに思い出していただく方が有益だと思います。
私の言うことを裏付けるために、レポートを見てください。 Trustwave この報告書は、「ハニーポット」(ハチミツの瓶、ハッカーをおびき寄せる偽の標的を意味する)の世界的ネットワークに基づいて、一部の敏感な国(ロシア、ウクライナ、ポーランド、英国、中国、米国)におけるデータベースに対する攻撃の種類を分析している。州)使用される方法と技術に焦点を当てようとしています。好奇心が強い人にとっては興味深い読み物です。
の友人たちにいつも感謝しています シシント.
深める:
- https://www.itnews.com.au/news/hackers-hit-us-army-websites-146603
- https://www.informationweek.com/it-sectors/anti-u-s-hackers-infiltrate-a...
- https://www.theguardian.com/technology/2011/apr/26/playstation-network-h...
- https://www.theguardian.com/technology/blog/2011/may/05/anonymous-accuse...
- https://www.csmonitor.com/Technology/Horizons/2012/0712/Yahoo-hack-steal...
- https://siliconangle.com/2023/06/13/trustwave-report-finds-attacks-targe...
- https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/honeypot...
