SQL ներմուծում

Վիքիպեդիայից՝ ազատ հանրագիտարանից

SQL ներմուծում, կոդի ներմուծման տեխնիկա, որն օգտագործվում է տվյալների վրա հիմնված հավելվածների վրա հարձակվելու համար, որտեղ վտանգավոր SQL հայտարարությունները տեղադրվում են մուտքի դաշտում՝ կատարման համար (օրինակ՝ տվյալների բազայի բովանդակությունը հարձակվողին նետելու համար)[1]։ SQL ներմուծումը պետք է օգտագործի հավելվածի ծրագրային ապահովման անվտանգության խոցելիությունը, օրինակ, երբ օգտվողի մուտքագրումը կամ սխալ է զտված SQL հայտարարություններում ներկառուցված տողերի բառացի փախուստի նիշերի համար, կամ օգտագործողի մուտքագրումը խիստ մուտքագրված չէ և անսպասելիորեն կատարվում է։ SQL հիմնականում հայտնի է որպես հարձակման վեկտոր կայքերի համար, բայց կարող է օգտագործվել ցանկացած տեսակի SQL տվյալների բազայի վրա հարձակվելու համար։

SQL ներմուծման հարձակումները թույլ են տալիս հարձակվողներին կեղծել ինքնությունը, կեղծել առկա տվյալները, առաջացնել հերքման հետ կապված խնդիրներ, ինչպիսիք են գործարքների չեղարկումը կամ մնացորդների փոփոխությունը, թույլ տալ ամբողջական բացահայտել համակարգի բոլոր տվյալները, ոչնչացնել տվյալները կամ այլ կերպ անհասանելի դարձնել դրանք և դառնալ ադմինիստրատորներ տվյալների բազայի սերվերում։

2012-ի ուսումնասիրության մեջ նկատվեց, որ միջին վեբ հավելվածը ամսական ստանում էր չորս հարձակման արշավ, իսկ մանրածախ առևտրականները երկու անգամ ավելի շատ հարձակումներ էին ստանում, քան մյուս ոլորտները[2]։

Պատմությունը[խմբագրել | խմբագրել կոդը]

SQL ներմուծման առաջին հանրային քննարկումները սկսեցին հայտնվել մոտ 1998 թ;[3] օրինակ՝ Phrack Magazine-ում 1998թ հոդվածը[4]։

Կազմությունը[խմբագրել | խմբագրել կոդը]

SQL ներմուծումը (SQLI) Open Web Application Security Project-ի[5] կողմից համարվում էր 2007 և 2010 թվականների վեբ հավելվածների լավագույն 10 խոցելիություններից մեկը։ 2013 թվականին SQLI-ն գնահատվել է որպես թիվ մեկ հարձակում OWASP-ի[6] լավագույն տասնյակում։ SQL ներմուծման չորս հիմնական ենթադաս կա․

  • Դասական SQLI
  • Կույր SQL ներմուծում կամ եզրակացություն
  • Տվյալների բազայի կառավարման համակարգի հատուկ SQLI
  • Բաղադրյալ SQLI

The Storm Worm-ը Compounded SQLI-ի ներկայացումներից մեկն է[11]։

Այս դասակարգումը ներկայացնում է SQLI-ի վիճակը՝ հաշվի առնելով դրա էվոլյուցիան մինչև 2010 թվականը. հետագա կատարելագործումը շարունակվում է[12]։

Տեխնիկական իրականացումներ[խմբագրել | խմբագրել կոդը]

Սխալ կառուցված SQL հայտարարություններ[խմբագրել | խմբագրել կոդը]

Ներմուծման այս ձևը հիմնված է այն փաստի վրա, որ SQL հայտարարությունները բաղկացած են ինչպես տվյալներից, որոնք օգտագործվում են SQL հայտարարության կողմից, այնպես էլ հրամաններից, որոնք վերահսկում են, թե ինչպես է SQL հայտարարությունը կատարվում։

SQL ներմուծումը տեղի է ունենում, երբ հատուկ մշակված օգտվողի մուտքագրումը մշակվում է ստացող ծրագրի կողմից այնպես, որ մուտքագրումը թույլ է տալիս դուրս գալ տվյալների համատեքստից և մուտքագրել հրամանի համատեքստ։ Սա թույլ է տալիս հարձակվողին փոխել SQL հայտարարության կառուցվածքը, որը կատարվում է։

Կույր SQL ներմուծում[խմբագրել | խմբագրել կոդը]

Կույր SQL ներմուծուման օգտագործվում է, երբ վեբ հավելվածը խոցելի է SQL ներմուծման համար, սակայն ներմուծման արդյունքները տեսանելի չեն հարձակվողին։ Խոցելիություն ունեցող էջը կարող է չլինել այնպիսին, որը ցուցադրում է տվյալներ, այլ կցուցադրվի տարբեր կերպ՝ կախված այդ էջի համար կանչված օրինական SQL հայտարարության մեջ ներարկված տրամաբանական հայտարարության արդյունքներից։ Հարձակման այս տեսակը ավանդաբար համարվում է ժամանակատար, քանի որ յուրաքանչյուր վերականգնված բիթերի համար անհրաժեշտ էր ստեղծել նոր հայտարարություն, և կախված դրա կառուցվածքից՝ հարձակումը կարող է բաղկացած լինել բազմաթիվ անհաջող հարցումներից:Վերջին առաջխաղացումները թույլ են տվել յուրաքանչյուր հարցում վերականգնել մի քանի բիթ, առանց անհաջող հարցումների, ինչը թույլ է տալիս ավելի հետևողական և արդյունավետ արդյունահանում[13]։ Կան մի քանի գործիքներ, որոնք կարող են ավտոմատացնել այս հարձակումները, երբ հաստատվի խոցելիության գտնվելու վայրը և թիրախային տեղեկատվությունը[14]։

Երկրորդ կարգի SQL ներմուծում[խմբագրել | խմբագրել կոդը]

Երկրորդ կարգի SQL ներմուծումը տեղի է ունենում, երբ ներկայացված արժեքները պարունակում են վտանգավոր հրամաններ, որոնք պահվում են, այլ ոչ թե անմիջապես կատարվում։ Որոշ դեպքերում հավելվածը կարող է ճիշտ կոդավորել SQL հայտարարությունը և պահել այն որպես վավեր SQL: Այնուհետև, այդ հավելվածի մեկ այլ մաս, առանց SQL ներմուծումից պաշտպանվելու հսկիչների, կարող է կատարել այդ պահված SQL հայտարարությունը։ Այս հարձակումը պահանջում է ավելի շատ գիտելիքներ այն մասին, թե ինչպես են հետագայում օգտագործվում ներկայացված արժեքները։ Վեբ հավելվածների անվտանգության ավտոմատ սկաներները հեշտությամբ չեն հայտնաբերի SQL ներմուծումների այս տեսակը նաև կարող է անհրաժեշտ լինել ձեռքով հրահանգել, թե որտեղ է պետք ստուգել ապացույցների համար, որ ներմուծման փորձ է կատարվում։

Մեղմացում[խմբագրել | խմբագրել կոդը]

SQL ներմուծումը հայտնի հարձակում է և հեշտությամբ կանխվում է պարզ միջոցներով։ 2015 թվականին TalkTalk-ի վրա SQL ներմուծման ակնհայտ հարձակումից հետո BBC-ն հաղորդում է, որ անվտանգության փորձագետները ապշած էին, որ նման խոշոր ընկերությունը խոցելի կլինի դրա համար[15]։

Պարամետրացված հայտարարություններ[խմբագրել | խմբագրել կոդը]

Հիմնական հոդված՝ Prepared statement

Զարգացման պլատֆորմների մեծ մասում կարող են օգտագործվել պարամետրերով աշխատող պարամետրացված հայտարարություններ (երբեմն կոչվում են տեղապահներ(անգլ՝ placeholders ) կամ կապող փոփոխականներ)՝ օգտատիրոջ մուտքագրումը հայտարարությունում ներառելու փոխարեն։ Տեղապահը կարող է պահել միայն տվյալ տեսակի արժեք, այլ ոչ թե կամայական SQL հատված։ Հետևաբար, SQL ներմուծումը պարզապես կդիտարկվի որպես տարօրինակ (և հավանաբար անվավեր) պարամետրի արժեք։ Շատ դեպքերում SQL հայտարարությունը ամրագրված է, և յուրաքանչյուր պարամետր սկալյար է, այլ ոչ թե աղյուսակ[16]։

Հեշտ ասած, պարամետրացված հարցումների օգտագործումը կարող է միանշանակ կանխել SQL ներմուծումը։ Սա հիմնականում նշանակում է, որ ձեր փոփոխականները հարցումների տողեր չեն, որոնք կընդունեն կամայական SQL մուտքեր, այնուամենայնիվ, տվյալ տեսակների որոշ պարամետրեր անպայման անհրաժեշտ են։ Պարամետրացված հարցումները պահանջում են, որ մշակողը սահմանի ամբողջ կոդը։ Հետևաբար, առանց պարամետրացված հարցումների, յուրաքանչյուրը կարող էր դաշտում տեղադրել ցանկացած տեսակի SQL կոդ և ջնջել տվյալների բազան։

Շրջանցում[խմբագրել | խմբագրել կոդը]

Ներարկումները կանխելու հանրաճանաչ, թեև սխալների հակված և, ի վերջո, դատապարտված միջոցը SQL-ում հատուկ նշանակություն ունեցող բոլոր նիշերից խուսափելն է։ SQL DBMS-ի ձեռնարկը բացատրում է, թե որ նիշերն ունեն հատուկ նշանակություն, ինչը թույլ է տալիս ստեղծել թարգմանության կարիք ունեցող նիշերի համապարփակ սև ցուցակ (անգլ․՝ blacklist

PHP-ն ունի նմանատիպ գործառույթներ տվյալների բազայի այլ համակարգերի համար։ Ֆունկցիան աշխատում է նիշերից խուսափելու համար և օգտագործվում է հատկապես տվյալների բազաներում հարցումներ կատարելու համար, որոնք չունեն PHP-ում խուսափան գործառույթներ։ Այն վերադարձնում է մի տող՝ հետադարձ տողերով, նախքան նիշերը, որոնք պետք է խուսափեն տվյալների բազայի հարցումներում, և այլն։ Այս նիշերն են մեկ մեջբերում ('), կրկնակի մեջբերում ("), հետին կտրվածք (\) և NUL (NULL բայթ)[17]։

Խուսափած տողերի սովորական փոխանցումը SQL-ին հակված է սխալների, քանի որ հեշտ է մոռանալ տրված տողից խուսափումը։ Մուտքագրումն ապահովելու համար թափանցիկ շերտ ստեղծելը կարող է նվազեցնել այս սխալի հակվածությունը, եթե ոչ ամբողջությամբ վերացնել այն[18]։

Նմուշի ստուգում[խմբագրել | խմբագրել կոդը]

Ամբողջական, լողացող կամ բուլյան, լարային պարամետրերը կարող են ստուգվել, եթե դրանց արժեքը վավեր է տվյալ տեսակի համար։ Տողերը, որոնք պետք է հետևեն որոշակի խիստ օրինաչափության (ամսաթիվ, UUID, միայն այբբենական թվային և այլն), կարող են ստուգվել, եթե դրանք համապատասխանում են այս օրինաչափությանը։

Տվյալների բազայի թույլտվությունները[խմբագրել | խմբագրել կոդը]

Վեբ հավելվածի կողմից օգտագործվող տվյալների բազայի մուտքի թույլտվությունները սահմանափակելը միայն այն է, ինչ անհրաժեշտ է, կարող է օգնել նվազեցնել ցանկացած SQL ներմուծման գրոհների արդյունավետությունը, որոնք օգտագործում են վեբ հավելվածում առկա սխալները։

Օրինակ, Microsoft SQL Server-ի վրա ,տվյալների բազայի մուտքը կարող է սահմանափակվել համակարգի որոշ աղյուսակների վրա ընտրելու հնարավորությունից, ինչը կսահմանափակի շահագործումները, որոնք փորձում են JavaScript-ը տեղադրել տվյալների բազայի բոլոր տեքստային սյունակներում։

deny select on sys.sysobjects to webdatabaselogon;
deny select on sys.objects to webdatabaselogon;
deny select on sys.tables to webdatabaselogon;
deny select on sys.views to webdatabaselogon;
deny select on sys.packages to webdatabaselogon;

Օրինակներ[խմբագրել | խմբագրել կոդը]

  • 2002 թվականի փետրվարին Ջերեմիա Ջեքսը հայտնաբերեց, որ Guess.com-ը խոցելի է SQL ններմուծման հարձակման համար, ինչը թույլ է տալիս յուրաքանչյուրին, ով կարող է ճիշտ մշակված URL ստեղծել՝ կայքի հաճախորդների տվյալների բազայում 200,000+ անուններ, կրեդիտ քարտերի համարներ և պիտանելիության ժամկետներ տեղադրելու համար[19]։
  • 2005 թվականի նոյեմբերի 1-ին դեռահաս հաքերն օգտագործել է SQL ներմուծում՝ ներխուժելու Tech Target խմբի թայվանական տեղեկատվական անվտանգության ամսագրի կայք և գողանալ հաճախորդների տեղեկությունները[20]։
  • 2006 թվականի հունվարի 13-ին ռուս համակարգչային հանցագործները ներխուժեցին Ռոդ Այլենդի կառավարական կայք և իբր գողացան կրեդիտ քարտի տվյալները այն անձանցից, ովքեր առցանց բիզնես են վարել պետական գերատեսչությունների հետ[21]։
  • 2006 թվականի մարտի 29-ին հաքերը հայտնաբերեց SQL ներմուծման թերություն Հնդկաստանի կառավարության զբոսաշրջության պաշտոնական կայքում[22]։
  • 2008թ. մայիսին Չինաստանում գտնվող սերվերային ֆերմա օգտագործեց ավտոմատացված հարցումներ Google-ի որոնողական համակարգին՝ բացահայտելու SQL սերվերի կայքերը, որոնք խոցելի էին ավտոմատացված SQL ներարկման գործիքի հարձակման նկատմամբ[23][24]։
  • 2009 թվականի դեկտեմբերին հարձակվողը խախտել է RockYou պարզ տեքստային տվյալների բազան, որը պարունակում է մոտ 32 միլիոն օգտատերերի չգաղտնագրված օգտանուններ և գաղտնաբառեր՝ օգտագործելով SQL ներմուծան հարձակումը[25]։
  • Սեպտեմբերի 19-ին 2010-ի Շվեդիայի համընդհանուր ընտրությունների ժամանակ ընտրողը փորձեց կոդի ներմուծում՝ ձեռքով գրելով SQL հրամաններ՝ որպես գրելու քվեարկության մաս[26]։
  • 2010 թվականի նոյեմբերի 8-ին բրիտանական թագավորական նավատորմի կայքը վտանգի ենթարկվեց Tin Kode անունով ռումինացի հաքերների կողմից՝ օգտագործելով SQL ներմուծում[27][28]։
  • 2011 թվականի փետրվարի 5-ին HBGary, տեխնոլոգիական անվտանգության ընկերություն, ներխուժել է LulzSec-ը՝ օգտագործելով SQL ներմուծում իրենց CMS-ի վրա հիմնված կայքում[29]։
  • 2011 թվականի ապրիլի 11-ին Barracuda Networks-ը վտանգի ենթարկվեց՝ օգտագործելով SQL ներմուծման թերությունը։ Ձեռք բերված տեղեկությունների թվում էին աշխատակիցների էլեկտրոնային փոստի հասցեները և օգտվողների անունները:.[30]
  • 2011թ. ապրիլի 27-ին 4 ժամ տևողությամբ ավտոմատացված SQL ներմուծման հարձակում տեղի ունեցավ Broadband Reports կայքում, որը կարողացավ հանել օգտվողի անուն/գաղտնաբառ զույգերի 8%-ը.[31][32][33]
  • 2011 թվականի հունիսի 1-ին LulzSec խմբի «հաքթիվիստները» մեղադրվեցին SQLI-ի միջոցով գողանալու կտրոններ, ներբեռնման բանալիներ և գաղտնաբառեր, որոնք պահվում էին պարզ տեքստով Sony-ի կայքում՝ մուտք գործելով միլիոն օգտատերերի անձնական տվյալները.[34]
  • 2012 թվականի հուլիսին հաքերային խումբը գողացել է Yahoo!-ից 450,000 մուտքի հավատարմագրեր։ Մուտքագրումները պահվում էին պարզ տեքստով և իբր վերցված էին Yahoo ենթադոմեյնից՝ Yahoo! Ձայներ. Խումբը խախտել է Yahoo-ի անվտանգությունը՝ օգտագործելով «միության վրա հիմնված SQL ներմուծման տեխնիկա»[35][36]։
  • 2013 թվականի հունիսի 27-ին «RedHack» հաքերային խումբը կոտրել է Ստամբուլի վարչական կայքը[37]։ Նրանք պնդում էին, որ կարողացել են ջնջել ջրի, գազի, ինտերնետի, էլեկտրաէներգիայի, հեռախոսային ընկերություններին ունեցած պարտքերը։ Բացի այդ, նրանք հրապարակեցին ադմինիստրատորի օգտանունը և գաղտնաբառը, որպեսզի այլ քաղաքացիներ մուտք գործեն և վաղ առավոտյան մարեն իրենց պարտքերը։ Նրանք այդ լուրը հայտնել են Twitter-ից[38]։
  • 2013 թվականի նոյեմբերի 4-ին «RaptorSwag» հաքերային խումբն իբր կոտրել է Չինաստանի կառավարության 71 տվյալների բազա՝ օգտագործելով SQL ներմուծման հարձակման Չինաստանի միջազգային առևտրի պալատի վրա։ Արտահոսած տվյալները հրապարակվել են Anonymous-ի հետ համագործակցությամբ[39]։
  • 2014 թվականի փետրվարի 2-ին AVS TV-ն ուներ 40,000 հաշիվներ, որոնք արտահոսել էին հաքերային խումբը, որը կոչվում էր @deletesec[40]:
  • 2015 թվականի հոկտեմբերին SQL ներմուծման հարձակումն օգտագործվել է բրիտանական TalkTalk հեռահաղորդակցական ընկերության սերվերներից 156,959 հաճախորդների անձնական տվյալները գողանալու համար՝ օգտվելով ժառանգական վեբ պորտալի խոցելիությունից[41]։
  • 2020 թվականի օգոստոսին SQL ներմուծման հարձակումը կիրառվեց Ստենֆորդի շատ ուսանողների ռոմանտիկ հետաքրքրությունների մասին տեղեկատվություն ստանալու համար՝ Link-ի կողմից տվյալների ախտահանման անապահով ստանդարտների հետևանքով, որը հիմնադրվել էր համալսարանում բակալավրիատի Իշան Գանդիի կողմից[42]։
  • 2021 թվականի սկզբին 70 գիգաբայթ տվյալներ են արտահանվել ծայրահեղ աջակողմյան Gab կայքից SQL ներմուծման հարձակման միջոցով։ Խոցելիությունը ներմուծվել է Gab կոդերի բազա Ֆոսկո Մարոտտոյի՝ Gab-ի CTO-ի կողմից[43]:Երկրորդ հարձակումը Gab-ի դեմ սկսվեց հաջորդ շաբաթ՝ օգտագործելով առաջին հարձակման ժամանակ գողացված OAuth2 նշանները[44]։

Ծանոթագրություններ[խմբագրել | խմբագրել կոդը]

  1. Microsoft. «SQL Injection». Արխիվացված օրիգինալից 2013 թ․ օգոստոսի 2-ին. Վերցված է 2013 թ․ օգոստոսի 4-ին. «SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker.»
  2. Imperva (2012 թ․ հուլիս). «Imperva Web Application Attack Report» (PDF). Արխիվացված (PDF) օրիգինալից 2013 թ․ սեպտեմբերի 7-ին. Վերցված է 2013 թ․ օգոստոսի 4-ին. «Retailers suffer 2x as many SQL injection attacks as other industries. / While most web applications receive 4 or more web attack campaigns per month, some websites are constantly under attack. / One observed website was under attack 176 out of 180 days, or 98% of the time.»
  3. Sean Michael Kerner (2013 թ․ նոյեմբերի 25). «How Was SQL Injection Discovered? The researcher once known as Rain Forrest Puppy explains how he discovered the first SQL injection more than 15 years ago». Արխիվացված օրիգինալից 2014 թ․ մարտի 18-ին.
  4. Jeff Forristal (signing as rain.forest.puppy) (1998 թ․ դեկտեմբերի 25). «NT Web Technology Vulnerabilities». Phrack Magazine. 8 (54 (article 8)). Արխիվացված օրիգինալից 2014 թ․ մարտի 19-ին.
  5. «Category:OWASP Top Ten Project». OWASP. Արխիվացված օրիգինալից 2011 թ․ մայիսի 19-ին. Վերցված է 2011 թ․ հունիսի 3-ին.
  6. «Category:OWASP Top Ten Project». OWASP. Արխիվացված օրիգինալից 2013 թ․ հոկտեմբերի 9-ին. Վերցված է 2013 թ․ օգոստոսի 13-ին.
  7. «WHID 2007-60: The blog of a Cambridge University security team hacked». Xiom. Արխիվացված է օրիգինալից 2011 թ․ հունիսի 19-ին. Վերցված է 2011 թ․ հունիսի 3-ին.
  8. «WHID 2009-1: Gaza conflict cyber war». Xiom. Արխիվացված է օրիգինալից 2011 թ․ հոկտեմբերի 7-ին. Վերցված է 2011 թ․ հունիսի 3-ին.
  9. «List of Web Hacking Incidents: DNS Hijacking». Xiom. Արխիվացված է օրիգինալից 2009 թ․ հունիսի 18-ին.
  10. «Third Wave of Web Attacks Not the Last». Dark Reading. Վերցված է 2012 թ․ հուլիսի 29-ին.(չաշխատող հղում)
  11. Danchev, Dancho (2007 թ․ հունվարի 23). «Mind Streams of Information Security Knowledge: Social Engineering and Malware». Ddanchev.blogspot.com. Արխիվացված օրիգինալից 2011 թ․ հուլիսի 21-ին. Վերցված է 2011 թ․ հունիսի 3-ին.
  12. Deltchev, Krassen. «New Web 2.0 Attacks». B.Sc. Thesis. Ruhr-University Bochum. Արխիվացված է օրիգինալից 2012 թ․ ապրիլի 2-ին. Վերցված է 2010 թ․ փետրվարի 18-ին.
  13. «Extracting Multiple Bits Per Request From Full-blind SQL Injection Vulnerabilities». Hack All The Things. Արխիվացված է օրիգինալից 2016 թ․ հուլիսի 8-ին. Վերցված է 2016 թ․ հուլիսի 8-ին.
  14. «Using SQLBrute to brute force data from a blind SQL injection point». Justin Clarke. Արխիվացված է օրիգինալից 2008 թ․ հունիսի 14-ին. Վերցված է 2008 թ․ հոկտեմբերի 18-ին.
  15. «Questions for TalkTalk - BBC News». BBC News (անգլերեն). 2015 թ․ հոկտեմբերի 26. Արխիվացված օրիգինալից 2015 թ․ հոկտեմբերի 26-ին. Վերցված է 2015 թ․ հոկտեմբերի 26-ին.
  16. «SQL Injection Prevention Cheat Sheet». Open Web Application Security Project. Արխիվացված օրիգինալից 2012 թ․ հունվարի 20-ին. Վերցված է 2012 թ․ մարտի 3-ին.
  17. «Addslashes - PHP Manual». PHP.net. Արխիվացված է օրիգինալից 2011 թ․ սեպտեմբերի 5-ին.
  18. «Transparent query layer for MySQL». Robert Eisele. 2010 թ․ նոյեմբերի 8. Արխիվացված օրիգինալից 2010 թ․ նոյեմբերի 11-ին.
  19. «Guesswork Plagues Web Hole Reporting». SecurityFocus. 2002 թ․ մարտի 6. Արխիվացված օրիգինալից 2012 թ․ հուլիսի 9-ին.
  20. «WHID 2005-46: Teen uses SQL injection to break to a security magazine web site». Web Application Security Consortium. 2005 թ․ նոյեմբերի 1. Արխիվացված է օրիգինալից 2010 թ․ հունվարի 17-ին. Վերցված է 2009 թ․ դեկտեմբերի 1-ին.
  21. «WHID 2006-3: Russian hackers broke into a RI GOV website». Web Application Security Consortium. 2006 թ․ հունվարի 13. Արխիվացված է օրիգինալից 2011 թ․ փետրվարի 13-ին. Վերցված է 2008 թ․ մայիսի 16-ին.
  22. «WHID 2006-27: SQL Injection in incredibleindia.org». Web Application Security Consortium. 2006 թ․ մարտի 29. Արխիվացված է օրիգինալից 2009 թ․ հուլիսի 1-ին. Վերցված է 2010 թ․ մարտի 12-ին.
  23. Sumner Lemon, IDG News Service (2008 թ․ մայիսի 19). «Mass SQL Injection Attack Targets Chinese Web Sites». PCWorld. Վերցված է 2008 թ․ մայիսի 27-ին.(չաշխատող հղում)
  24. Michael Zino (2008 թ․ մայիսի 1). «ASCII Encoded/Binary String Automated SQL Injection Attack». Արխիվացված օրիգինալից 2008 թ․ հունիսի 1-ին.
  25. O'Dell, Jolie (2009 թ․ դեկտեմբերի 16). «RockYou Hacker - 30% of Sites Store Plain Text Passwords». New York Times. Վերցված է 2010 թ․ մայիսի 23-ին.
  26. «Did Little Bobby Tables migrate to Sweden?». Alicebobandmallory.com. Արխիվացված օրիգինալից 2012 թ․ հուլիսի 1-ին. Վերցված է 2011 թ․ հունիսի 3-ին.
  27. Royal Navy website attacked by Romanian hacker Արխիվացված Նոյեմբեր 9, 2010 Wayback Machine BBC News, 8-11-10, Accessed November 2010
  28. Sam Kiley (2010 թ․ նոյեմբերի 25). «Super Virus A Target For Cyber Terrorists». Արխիվացված օրիգինալից 2010 թ․ նոյեմբերի 28-ին. Վերցված է 2010 թ․ նոյեմբերի 25-ին.
  29. «We Are Anonymous: Inside the Hacker World of LulzSec» (PDF). Little, Brown and Company. Արխիվացված է օրիգինալից (PDF) 2012 թ․ հուլիսի 18-ին.
  30. «Hacker breaks into Barracuda Networks database». Արխիվացված է օրիգինալից 2011 թ․ հուլիսի 27-ին.
  31. «site user password intrusion info». Dslreports.com. Արխիվացված օրիգինալից 2012 թ․ հոկտեմբերի 18-ին. Վերցված է 2011 թ․ հունիսի 3-ին.
  32. «DSLReports says member information stolen». Cnet News. 2011 թ․ ապրիլի 28. Արխիվացված օրիգինալից 2012 թ․ մարտի 21-ին. Վերցված է 2011 թ․ ապրիլի 29-ին.
  33. «DSLReports.com breach exposed more than 100,000 accounts». The Tech Herald. 2011 թ․ ապրիլի 29. Արխիվացված է օրիգինալից 2011 թ․ ապրիլի 30-ին. Վերցված է 2011 թ․ ապրիլի 29-ին.
  34. «LulzSec hacks Sony Pictures, reveals 1m passwords unguarded», electronista.com, 2011 թ․ հունիսի 2, Արխիվացված է օրիգինալից 2011 թ․ հունիսի 6-ին, Վերցված է 2011 թ․ հունիսի 3-ին {{citation}}: More than one of |archivedate= and |archive-date= specified (օգնություն); More than one of |archiveurl= and |archive-url= specified (օգնություն)
  35. Chenda Ngak. "Yahoo reportedly hacked: Is your account safe?" Արխիվացված Հուլիս 14, 2012 Wayback Machine, CBS News. July 12, 2012. Retrieved July 16, 2012.
  36. Yap, Jamie (2012 թ․ հուլիսի 12). «450,000 user passwords leaked in Yahoo breach». ZDNet. Արխիվացված օրիգինալից 2014 թ․ հուլիսի 2-ին. Վերցված է 2017 թ․ փետրվարի 18-ին.
  37. «RedHack Breaches Istanbul Administration Site, Hackers Claim to Have Erased Debts». Արխիվացված օրիգինալից 2013 թ․ հունիսի 29-ին.
  38. @RedHack_EN (June 28, 2013). «Open to public hacking. One of Governor of Istanbul's site User: 'or=' Pass: 'or=' Site:http://ioi.gov.tr/fatura/login.php http://pic.twitter.com/ZEHBFJLVfT» (Թվիթ). Արխիվացված է օրիգինալից August 12, 2016-ին – via Թվիթթեր.
  39. Kovacs, Eduard (2013 թ․ նոյեմբերի 4). «Hackers Leak Data Allegedly Stolen from Chinese Chamber of Commerce Website». Softpedia News. Արխիվացված օրիգինալից 2014 թ․ մարտի 2-ին. Վերցված է 2014 թ․ փետրվարի 27-ին.
  40. «40,000 AVS TV Accounts Leaked». Maurihackers. Արխիվացված օրիգինալից 2015 թ․ փետրվարի 19-ին. Վերցված է 2015 թ․ փետրվարի 19-ին.
  41. «TalkTalk gets record £400,000 fine for failing to prevent October 2015 attack». 2016 թ․ հոկտեմբերի 5. Արխիվացված է օրիգինալից 2016 թ․ հոկտեմբերի 24-ին. Վերցված է 2016 թ․ հոկտեմբերի 23-ին.
  42. Catania, Sam (2020 թ․ օգոստոսի 13). «Vulnerability in 'Link' website may have exposed data on Stanford students' crushes». The Stanfort Daily. Վերցված է 2020 թ․ սեպտեմբերի 5-ին.
  43. Goodin, Dan (2021 թ․ մարտի 2). «Rookie coding mistake prior to Gab hack came from site's CTO». Ars Technica.
  44. Goodin, Dan (2021 թ․ մարտի 8). «Gab, a haven for pro-Trump conspiracy theories, has been hacked again». Ars Technica.

Արտաքին հղումներ[խմբագրել | խմբագրել կոդը]

Microsoft150451098
Ստացված է «https://hy.wikipedia.org/w/index.php?title=SQL_ներմուծում&oldid=9806781» էջից