בימים אלה נראה כי הפגיעות של SQL Injection הינה מיושנת ולא מאיימת במיוחד, אך חוקרי אבטחת מידע ותוקפים מיומנים מוצאים דרכים. . .
לנצל אותה למטרותיהם. בחודש שעבר, צמד חוקרי אבטחת מידע הדגים דרך יצירתית לביצוע תקיפת SQL Injection כנגד אתרים באינטרנט המגישים תוכן דינמי דוגמת קבצי PDF המבוססים על כתובותURL הנבנות באופן דינאמי.
שיטה זו מאפשרת לתוקפים את הכלים לגנוב באופן חשאי מידע ולשתול תוכנה זדונית על ידי ניצול פגיעויות ה-SQL Injection בסוג זה של אתרים, גם אם מסד הנתונים בו יושב התוכן המועלה לאתר מוקשח באופן מיטבי.
קונקרטית, ניצול קבצי ה-PDF לצורך ביצוע התקיפה יכול להתבצע בשלוש דרכים מרכזיות: הראשונה, הכנסת JavaScript לתוך ה-PDF; השנייה, הכנסת טקסט סטטי או מוסווה לתוך הזרמת התוכן ל-PDF לרבות את תוצאות השאילתות של מסד הנתונים; ולבסוף, התוקף יכול להחליף את כל ה-PDF המוחזר אליו עם PDF חדש וזדוני אותו יצר.
לידיעה המלאה- כאן