Оказывается, взломать сайт "украинского Пентагона" и оставить на главной странице поздравление типа "Гриценко - не спи!", для профессионала не так уж и сложно. Тем более, что администраторы сайта, уже не раз предупреждённые программистами Ukrainian PHP Group, даже и "в ус не дуют". Зря, вообще-то…
Дело в том, что на сайте Минобороны обнаружена SQL - уязвимость, суть которой заключается в том, что входящие данные или не проверяются совсем, или же эта проверка происходит неправильно, передает Украина криминальная.
Справка "УК": SQL injection - распростаненная уязвимость, возникающая вследствие недостаточной проверки принятых от пользователя значений. Как правило, злоумышленники перед атакой определяют уязвимость сайта с помощью специальных запросов. Последствием выполнения такой атаки на уязвимом сайте, является вывод детального сообщения об ошибке, который в большинстве случаев позволяет получить информацию о используемых путях и технологиях, что в свою очередь облегчает получение доступа к закрытым областям сайта или выполнения на сервере произвольных команд операционной системы, с возможностью последующего захвата сервера.
Потому абсолютно возможен не только взлом самого сайта Минобороны, но и редактирование баз данных извне, и полное уничтожение всей базы.
13.08.2005 11:54