A Ovest Di Paperino

Welcome to the dark side.

SQL Execution

Wikipedia, a proposito di SQL Injection, recita:

La SQL injection รจ una tecnica dell'hacking mirata a colpire le applicazioni web che si appoggiano su un database di tipo SQL. Questo exploit sfrutta l'inefficienza dei controlli sui dati ricevuti in input ed inserisce codice maligno all'interno di una query SQL. Le conseguenze prodotte sono imprevedibili per il programmatore: l'Sql Injection permette al malintezionato di autenticarsi con ampi privilegi in aree protette del sito (ovviamente, anche senza essere in possesso delle credenziali d'accesso) e di visualizzare e/o alterare dati sensibili.

Insomma per ottenere un attacco basato su una SQL Injection, il sito vulnerabile deve prendere in input un parametro malformato e trasformarlo accidentalmente in una query SQL.

Ma se il sito come parametro prende direttamente una query? Si ottiene la nuova frontiera delle SQL Injection: la SQL Execution!

Enjoy!

Technorati Tags: