Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 3/4/2009
Angreb med SQL-indsætning, der hidtil har været rettet mod data i databaser, kan give en angriber fuld kontrol over en server.Det hævder sikkerhedsforsker Bernardo Damele Assumpcao Guimaraes. Han vil fremlægge sine resultater på konferencen Black Hat i Amsterdam senere på måneden.
Forskeren har fundet metoder til at bruge SQL-indsætning som et første skridt på vejen mod at få fuld kontrol over offerets computer.
SQL-indsætning består i, at man fx indtaster databasekommandoer i inputfelter på websteder. Hvis webapplikationen ikke kontrollerer indholdet af feltet, sendes kommandoen videre.
Hidtil har det primært været set som en metode til at læse fortrolige data eller ændre på data i en database.
Men Bernardo Damele Assumpcao Guimaraes har fundet metoder, der gør det muligt at få adgang til en kommandoprompt eller afvikle programkode via SQL-indsætning. Han vil demonstrere angreb, der virker på MySQL, PostgreSQL og Microsoft SQL Server.
Ifølge sikkerhedsfirmaet WhiteHat Security er mindst 16 procent af alle websteder sårbare over for SQL-indsætning.