A Acunetix publicou um artigo bastante interessante sobre SQL Injection e a sua influência em 2009.

Uma falha particularmente fácil de prevenir e corrigir mas que continua a ser uma grande dor de cabeça para muitas organizações. Basta ver aqui no nosso blogue a quantidade de referências a este tipo de ataque web.

Um dos exemplos referidos no artigo da Acunetix foi o ataque à empresa de segurança Bit Defender em Portugal, disponibilizando acesso a milhares de emails e informações pessoais de administradores e clientes.

In February a group of Romanian hackers in separate incidents allegedly broke into Kaspersky, F-Secure, and Bit-Defender.pt websites by use of SQL Injection attacks. All three companies are major brands in the security and antivirus market. All three attacks were relatively trivial to carry out, however gave the hacker known as ‘unu’ access to F-Secure’s virus statistics, Kaspersky’s entire database which consisted of users, activation codes, a list of bugs and Bit-Defender’s thousands of user email addresses, admin login credentials and customers personal information.

In “Looking back at 2009 through SQL Injection goggles”

O grande responsável da publicação de muitas destas falhas SQL Injection foi Unu, um romeno ausente do mundo da segurança informática algum tempo, fechando mesmo recentemente o seu blogue, talvez prevenindo problemas legais por expor informação privada.
Unu usava uma ferramenta da NOSEC, grupo chinês, com o nome Pangolin. Esta ferramenta que passou a ser comercial (inicialmente era open source) tem gerado polémica em alguns pen testers que usavam esta aplicação, pois algumas das falhas encontradas eram enviadas para o servidor da NOSEC.

Sql Injection a pedra no sapato de muitos desde 1998…

DS

Posts Relacionados:

1. XSS continua a ser a falha web mais comum
2. Yahoo Local foi hackado por SQL Injection
3. PC World hackada por SQL Injection
4. Facebook vulnerável a SQL Injection
5. SQL Injection no site da Yahoo