Chuyên gia nghiên cứu bảo mật David Litchfield mới đây đã công bố chi tiết một kỹ thuật tấn công mới có thể giúp hacker đoạt được quyền truy cập vào cơ sở dữ liệu Oracle.
Trong một cuộc trả lời phỏng vấn báo chí ngày hôm 24/4, chuyên gia Litchfield cho biết kỹ thuật tấn công này – được đặt tên là Lateral SQl Injection – có thể cho phép tin tặc đoạt được quyền truy cập cấp độ quản trị (administrator) vào máy chủ Oracle.
Để tấn công, hacker chỉ cần lập trình một từ khóa tìm kiếm riêng để điều khiển cơ sở dữ liệu chạy các lệnh SQL. Trước đây các chuyên gia bảo mật cho rằng kỹ thuật SQL Injection chỉ có tác dụng nếu như hacker có thể chèn thêm các chuỗi ký tự vào trong cơ sở dữ liêu. Litchfield đã trình diễn cho thấy kỹ thuật tấn công này có thể được sử dụng bằng cách sử dụng các loại dữ liệu như ngày tháng hoặc số.
Mục tiêu kỹ thuật tấn công của Litchfield là ngôn ngữ lập trình Procedural Language/SQL ưa thích của các nhà phát triển cơ sở dữ liệu Oracle.
Litchfield không chắc chắn về mức độ phổ biến của các lỗi bảo mật Lateral SQL Injection nhưng chuyên gia bảo mật này khẳng định các lỗi bảo mật này thực sự có thể bị lợi dụng để gây ra những thiết hại đáng kể.
Các nhà lập trình cơ sỡ dữ liệu được khuyến cáo nên kiểm tra lại mã nguồn ứng dụng nhằm bảo đảm mọi thủ tục xử lý đều an toàn không thể bị chèn thêm các lệnh SQL.
Oracle chưa có bất kỳ bình luận nào về thông tin trên đây.
Tiết lộ kỹ thuật tấn công Oracle mới
216
0 Bình luận
Sắp xếp theo
Xóa Đăng nhập để Gửi
Có thể bạn quan tâm
-
Bphone có bản cập nhật phần mềm đầu tiên, cải thiện camera
-
Wifi Sense - tính năng tự động chia sẻ mật khẩu Wi-Fi với bạn bè
-
Vô hiệu hóa phím tắt Lockscreen trên Windows
-
LG giới thiệu panel màn hình cảm ứng mới dành cho Notebook
-
Rò rỉ ảnh thiết kế của Galaxy Note 5
-
"Uber Trung Quốc" tấn công thị trường Mỹ