Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 29/11/2002
Ved at indtaste databasekommandoer i browserens adressefelt kan angribere få udført kommandoerne, hvis web-applikationen ikke er sikret. Problemet er udbredt, mener DK-CERT.Det opstår, når en web-applikation ikke kontrollerer det input, som den sender videre til en database. Det sker for eksempel, når en web-side baseret på ASP (Active Server Pages) skal vise data, der hentes dynamisk i en database. Hvis ASP-programmet overfører input ufiltreret, kan en angriber indtaste databasekommandoer i søgefelter eller URL-strenge. Disse kommandoer vil så blive udført på serveren. På den måde kan angriberen læse information og ændre eller slette i den.
"Firmaet Evikali gjorde tidligere på året DK-CERT opmærksom på en række danske websteder, der kunne se ud til at have SQL-sårbarheder. Vi kontaktede administratorerne og advarede dem om problemet. Men der er sandsynligvis mange flere websteder i Danmark, der er sårbare over for denne type angreb," skriver chefkonsulent Preben Andersen fra UNI-C i dag på Computerworld Online. Han leder DK-CERT.