SQL инъекции - внедрение кода sql для взлома сайта

18.02.2011
Мне показалось это очень интересным. Пишу я значит новости на сайте магазина, так чтобы оживить сайт. Вообще это надо делать каждый день, иногда хочется узнать какие из новостей попали в индекс поисковых систем. Гуггл показал новость уже на следующий день, а яндекс немного тормозит и показывает новости с задержкой в 2-3 дня, но все равно не плохо, может еще быстрее получится. На некоторых сайтах страницы месяцами в поиск не попадают, если совсем брошенный. 
Вообщем иногда смотрю что попало в поиск, вот и тогда искал я новость, а нашел инфу, как из сайта магазина одной ссылкой вывернули пароли для админки.. Ссылку я конечно не покажу, клиент хочет остаться анонимный. Но вот на одно слово в моем словаре стало больше - "SQL инъекция". Это делается например так, есть старый движок, на котором работает магазин. Переходить на новый движок - это легче сделать магазин заново, а это долго и сложно,  работает сайт и хорошо, а там видно будет. Только вот в старых движках столько дыр, столько уязвимостей,  это может плохо кончится.
SQL инъекцию можно сделать одной ссылкой, прямо в адресной строке набрать последовательность символов, и обработчик выдаст результат - в моем случае это были все пароли пользователей суперадминистраторов root.  Так можно конечно взломать любой ресурс, если знать форму запроса. Вот есть же гениальные люди, одной строчкой взломали мне сайт, и еще пароли все на форуме опубликовали, с примером ссылки для взлома, любой мог просто потереть мне все данные. Пришлось попросить залатать эту дырку уязвимость, но кто знает сколько там еще таких осталось,


Оставить комментарий...

Добавить комментарий


Защитный код
Обновить