Почти 5 лет назад червь SQL Slammer должен был заставить людей понять, что предоставление доступа к важнейшим ресурсам инфраструктуры через Интернет — крайне неудачная идея.

Однако не все учатся на ошибках прошлого. Совсем недавно несколько тысяч страниц в Интернете пострадали от атаки (предположительно) SQL Injection, что в результате поставило под угрозу личные данные сотен тысяч пользователей Интернета.

Самое ужасное заключается в том, что в руки злоумышленников могли попасть данные о кредитных картах, удостоверениях личностей и других важнейших документах пользователей, не имевших никакого отношения к этим страницам.

А сегодня мы узнали о новом «подпольном» инструменте – sqlmap:

sqlmap представляет собой инструмент автоматического выполнения несанкционированного кода SQL, полностью разработанный на Python. Он способен проводить комплексный анализ систем управления базами данных, получать доступ к удаленным базам данных, именам пользователей, таблицам, столбцам, полному содержимому базы данных, а также считывать системные файлы и многую другую информацию, пользуясь прорехами в системах безопасности приложений для Интернета, открывающим возможности для принудительного выполнения несанкционированного кода SQL.

Это очень неприятная новость для многих сайтов, на которых операционные системы SQL по-прежнему доступны через Интернет.

По результатам предварительного анализа, инструмент SQL Injection ищет уязвимости в системах SQL на общедоступных страницах в Интернете. При этом не требуется непосредственный доступ к серверу SQL; достаточно промежуточного интерфейса, например, формы CGI.