Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
26/09/2011
Els atacs d'injecció SQL augmenten en número i sofisticació
L'informe d'Imperva mostra com s'executen els atacs d'injecció SQL (SQLi) i la contínua innovació dels atacants per a eludir els controls de seguretat. «La injecció SQL és probablement la vulnerabilitat més costosa en la història del programari», conclou Amichai Shulman, màxim responsable de tecnologia d'Imperva.
Bretxes ben conegudes, com les patides per Sony, Nokia i Heartland Payment Systems, han estat el resultat de l'ús d'injecció SQL per a entrar en les bases de dades de rerafons (back-end) de les aplicacions, i tals atacs formen part essencial de l'arsenal del grup ciberpirata LulzSec.
Imperva estima que hi ha al voltant de 115 milions de vulnerabilitats d'injecció SQL en circulació, basant-se en les dades aconseguides mitjançant la monitorització d'un conjunt de 30 aplicacions web, durant els passats nou mesos.
Des de juliol, la companyia assegura haver detectat, en tals aplicacions, una mitjana de 71 intents d'injecció SQL cada hora. Aplicacions específiques van resultar de vegades l'objectiu d'atacs especialment agressius, sent impactades, en els moments de major intensitat, amb entre 800 i 1300 intents per hora.
D'altra banda, Privacyrights.org estima que la injecció SQL ha estat responsable del 83% de les bretxes de dades relacionades amb algun atac de ciberpirateig reeixit, des de 2005 fins a hores d'ara.