Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 9/2/2010
Sikkerhedsforskere har demonstreret, hvordan angribere kan ændre på de data, en applikation bruger til at forbinde sig til en database. De har udsendt et værktøj, der tjekker for sårbarheden.Angrebet udnytter de såkaldte connection strings, som fx web-applikationer kan bruge til at angive, hvordan de kommunikerer med en database.
Hvis systemet er opsat på en usikker måde, kan brugerne selv ændre i indholdet af en connection string. Derved kan de få adgang til andre tabeller eller andre databaser end dem, de har lov til at se.
Sikkerhedsforskerne Jose Palazon og Chema Alonso fra sikkerhedsfirmaet Informatica64 demonstrerede metoden på konferencen Black Hat DC for nylig, skriver Eweek. De kalder metoden for Connection String Parameter Pollution.
På Informatica64s websted kan man hente et værktøj, der scanner efter sårbare systemer.