Faran i webbdatabasfel

Förra veckan, federala åklagare åtalade Albert Gonzalez , en man som redan anklagats för att ha stulit nästan 100 miljoner kredit- och betalkortskonton från återförsäljaren TJX, för att ha arbetat med tre andra personer för att hacka sig in i ytterligare fem företag. Gonzalez och hans kohorter ska ha stulit åtminstone ytterligare 130 miljoner kredit- och betalkortskonton.





I varje fall var den första kompromissen genom offrets webbplats med hjälp av en teknik, känd som SQL-injektion, som sällan talas om utanför datorsäkerhetskretsar.

Attacken utnyttjar webbplatskomponenter som tillåter användarinmatning, såsom sökrutor och inloggningssidor. Om webbapplikationen inte kontrollerar giltigheten av teckensträngen på ett tillfredsställande sätt, kan en angripare ange en speciellt formaterad sträng som, när den bearbetas, kommer att konverteras till ett databaskommando. Eftersom de flesta webbdatabaser använder det strukturerade frågespråket, eller SQL, är attacken känd som en SQL-injektion.

Det är ett hot på medelnivå som resten av branschen har ignorerat så länge att angriparna har insett att det är ett vidöppet fält, säger Dan Holden, produktchef för IBM:s X-Force sårbarhetsforskningsteam.



Eftersom webbutvecklare vanligtvis inte är programmerare – och de flesta programmerare inte är tillräckligt utbildade i säkerhetspraxis – är onlineapplikationer fulla av SQL-injektionsbrister.

Big Blue har sett antalet SQL-injektionsattacker fördubblas från det första till det andra kvartalet 2009. Under de senaste åren har sårbarheter som tillåter SQL-injektion att hända en av de tre bästa platserna i den årliga listan över brister. Förra året ingick cirka 20 procent av de 5 600 sårbarheterna Nationell sårbarhetsdatabas var relaterade till SQL-injektion.

Utvecklare arbetar med programmeringsspråk på hög nivå och de får helt enkelt inte lära sig att hantera sårbarheter, säger Holden. Buggar och sårbarheter uppstår för att människor gör misstag, och det är människor som programmerar applikationer.



För att understryka faran meddelade säkerhetsföretaget ScanSafe denna vecka att det hade hittat nästan 100 000 webbsidor som hade äventyrats med hjälp av en SQL-injektionsattack för att inkludera skadlig kod.

Det är som att det har nått puberteten, säger Holden. SQL-injektion har börjat komma till sin rätt.

Dölj