SQL ներմուծում

Վիքիպեդիայից՝ ազատ հանրագիտարանից
Jump to navigation Jump to search

SQL ներմուծում, կոդի ներմուծման տեխնիկա, որն օգտագործվում է տվյալների վրա հիմնված հավելվածների վրա հարձակվելու համար, որտեղ վտանգավոր SQL հայտարարությունները տեղադրվում են մուտքի դաշտում՝ կատարման համար (օրինակ՝ տվյալների բազայի բովանդակությունը հարձակվողին նետելու համար)[1]։ SQL ներմուծումը պետք է օգտագործի հավելվածի ծրագրային ապահովման անվտանգության խոցելիությունը, օրինակ, երբ օգտվողի մուտքագրումը կամ սխալ է զտված SQL հայտարարություններում ներկառուցված տողերի բառացի փախուստի նիշերի համար, կամ օգտագործողի մուտքագրումը խիստ մուտքագրված չէ և անսպասելիորեն կատարվում է։ SQL հիմնականում հայտնի է որպես հարձակման վեկտոր կայքերի համար, բայց կարող է օգտագործվել ցանկացած տեսակի SQL տվյալների բազայի վրա հարձակվելու համար։

SQL ներմուծման հարձակումները թույլ են տալիս հարձակվողներին կեղծել ինքնությունը, կեղծել առկա տվյալները, առաջացնել հերքման հետ կապված խնդիրներ, ինչպիսիք են գործարքների չեղարկումը կամ մնացորդների փոփոխությունը, թույլ տալ ամբողջական բացահայտել համակարգի բոլոր տվյալները, ոչնչացնել տվյալները կամ այլ կերպ անհասանելի դարձնել դրանք և դառնալ ադմինիստրատորներ տվյալների բազայի սերվերում։

2012-ի ուսումնասիրության մեջ նկատվեց, որ միջին վեբ հավելվածը ամսական ստանում էր չորս հարձակման արշավ, իսկ մանրածախ առևտրականները երկու անգամ ավելի շատ հարձակումներ էին ստանում, քան մյուս ոլորտները[2]։

Պատմությունը[խմբագրել | խմբագրել կոդը]

SQL ներմուծման առաջին հանրային քննարկումները սկսեցին հայտնվել մոտ 1998 թ;[3]օրինակ՝ Phrack Magazine-ում 1998թ հոդվածը[4]։

Կազմությունը[խմբագրել | խմբագրել կոդը]

SQL ներմուծումը (SQLI) Open Web Application Security Project-ի[5] կողմից համարվում էր 2007 և 2010 թվականների վեբ հավելվածների լավագույն 10 խոցելիություններից մեկը։ 2013 թվականին SQLI-ն գնահատվել է որպես թիվ մեկ հարձակում OWASP-ի[6] լավագույն տասնյակում։ SQL ներմուծման չորս հիմնական ենթադաս կա․

  • Դասական SQLI
  • Կույր SQL ներմուծում կամ եզրակացություն
  • Տվյալների բազայի կառավարման համակարգի հատուկ SQLI
  • Բաղադրյալ SQLI

The Storm Worm-ը Compounded SQLI-ի ներկայացումներից մեկն է[11]։

Այս դասակարգումը ներկայացնում է SQLI-ի վիճակը՝ հաշվի առնելով դրա էվոլյուցիան մինչև 2010 թվականը. հետագա կատարելագործումը շարունակվում է[12]։

Տեխնիկական իրականացումներ[խմբագրել | խմբագրել կոդը]

Սխալ կառուցված SQL հայտարարություններ[խմբագրել | խմբագրել կոդը]

Ներմուծման այս ձևը հիմնված է այն փաստի վրա, որ SQL հայտարարությունները բաղկացած են ինչպես տվյալներից, որոնք օգտագործվում են SQL հայտարարության կողմից, այնպես էլ հրամաններից, որոնք վերահսկում են, թե ինչպես է SQL հայտարարությունը կատարվում։

SQL ներմուծումը տեղի է ունենում, երբ հատուկ մշակված օգտվողի մուտքագրումը մշակվում է ստացող ծրագրի կողմից այնպես, որ մուտքագրումը թույլ է տալիս դուրս գալ տվյալների համատեքստից և մուտքագրել հրամանի համատեքստ։ Սա թույլ է տալիս հարձակվողին փոխել SQL հայտարարության կառուցվածքը, որը կատարվում է։

Կույր SQL ներմուծում[խմբագրել | խմբագրել կոդը]

Կույր SQL ներմուծուման օգտագործվում է, երբ վեբ հավելվածը խոցելի է SQL ներմուծման համար, սակայն ներմուծման արդյունքները տեսանելի չեն հարձակվողին։ Խոցելիություն ունեցող էջը կարող է չլինել այնպիսին, որը ցուցադրում է տվյալներ, այլ կցուցադրվի տարբեր կերպ՝ կախված այդ էջի համար կանչված օրինական SQL հայտարարության մեջ ներարկված տրամաբանական հայտարարության արդյունքներից։ Հարձակման այս տեսակը ավանդաբար համարվում է ժամանակատար, քանի որ յուրաքանչյուր վերականգնված բիթերի համար անհրաժեշտ էր ստեղծել նոր հայտարարություն, և կախված դրա կառուցվածքից՝ հարձակումը կարող է բաղկացած լինել բազմաթիվ անհաջող հարցումներից:Վերջին առաջխաղացումները թույլ են տվել յուրաքանչյուր հարցում վերականգնել մի քանի բիթ, առանց անհաջող հարցումների, ինչը թույլ է տալիս ավելի հետևողական և արդյունավետ արդյունահանում[13]։ Կան մի քանի գործիքներ, որոնք կարող են ավտոմատացնել այս հարձակումները, երբ հաստատվի խոցելիության գտնվելու վայրը և թիրախային տեղեկատվությունը[14]։

Երկրորդ կարգի SQL ներմուծում[խմբագրել | խմբագրել կոդը]

Երկրորդ կարգի SQL ներմուծումը տեղի է ունենում, երբ ներկայացված արժեքները պարունակում են վտանգավոր հրամաններ, որոնք պահվում են, այլ ոչ թե անմիջապես կատարվում։ Որոշ դեպքերում հավելվածը կարող է ճիշտ կոդավորել SQL հայտարարությունը և պահել այն որպես վավեր SQL: Այնուհետև, այդ հավելվածի մեկ այլ մաս, առանց SQL ներմուծումից պաշտպանվելու հսկիչների, կարող է կատարել այդ պահված SQL հայտարարությունը։ Այս հարձակումը պահանջում է ավելի շատ գիտելիքներ այն մասին, թե ինչպես են հետագայում օգտագործվում ներկայացված արժեքները։ Վեբ հավելվածների անվտանգության ավտոմատ սկաներները հեշտությամբ չեն հայտնաբերի SQL ներմուծումների այս տեսակը նաև կարող է անհրաժեշտ լինել ձեռքով հրահանգել, թե որտեղ է պետք ստուգել ապացույցների համար, որ ներմուծման փորձ է կատարվում։

Մեղմացում[խմբագրել | խմբագրել կոդը]

SQL ներմուծումը հայտնի հարձակում է և հեշտությամբ կանխվում է պարզ միջոցներով։ 2015 թվականին TalkTalk-ի վրա SQL ներմուծման ակնհայտ հարձակումից հետո BBC-ն հաղորդում է, որ անվտանգության փորձագետները ապշած էին, որ նման խոշոր ընկերությունը խոցելի կլինի դրա համար[15]։

Պարամետրացված հայտարարություններ[խմբագրել | խմբագրել կոդը]

Զարգացման պլատֆորմների մեծ մասում կարող են օգտագործվել պարամետրերով աշխատող պարամետրացված հայտարարություններ (երբեմն կոչվում են տեղապահներ(անգլ՝ placeholders ) կամ կապող փոփոխականներ)՝ օգտատիրոջ մուտքագրումը հայտարարությունում ներառելու փոխարեն։ Տեղապահը կարող է պահել միայն տվյալ տեսակի արժեք, այլ ոչ թե կամայական SQL հատված։ Հետևաբար, SQL ներմուծումը պարզապես կդիտարկվի որպես տարօրինակ (և հավանաբար անվավեր) պարամետրի արժեք։ Շատ դեպքերում SQL հայտարարությունը ամրագրված է, և յուրաքանչյուր պարամետր սկալյար է, այլ ոչ թե աղյուսակ[16]։

Հեշտ ասած, պարամետրացված հարցումների օգտագործումը կարող է միանշանակ կանխել SQL ներմուծումը։ Սա հիմնականում նշանակում է, որ ձեր փոփոխականները հարցումների տողեր չեն, որոնք կընդունեն կամայական SQL մուտքեր, այնուամենայնիվ, տվյալ տեսակների որոշ պարամետրեր անպայման անհրաժեշտ են։ Պարամետրացված հարցումները պահանջում են, որ մշակողը սահմանի ամբողջ կոդը։ Հետևաբար, առանց պարամետրացված հարցումների, յուրաքանչյուրը կարող էր դաշտում տեղադրել ցանկացած տեսակի SQL կոդ և ջնջել տվյալների բազան։

Շրջանցում[խմբագրել | խմբագրել կոդը]

Ներարկումները կանխելու հանրաճանաչ, թեև սխալների հակված և, ի վերջո, դատապարտված միջոցը SQL-ում հատուկ նշանակություն ունեցող բոլոր նիշերից խուսափելն է։ SQL DBMS-ի ձեռնարկը բացատրում է, թե որ նիշերն ունեն հատուկ նշանակություն, ինչը թույլ է տալիս ստեղծել թարգմանության կարիք ունեցող նիշերի համապարփակ սև ցուցակ (անգլ․՝ blacklist

PHP-ն ունի նմանատիպ գործառույթներ տվյալների բազայի այլ համակարգերի համար։ Ֆունկցիան աշխատում է նիշերից խուսափելու համար և օգտագործվում է հատկապես տվյալների բազաներում հարցումներ կատարելու համար, որոնք չունեն PHP-ում խուսափան գործառույթներ։ Այն վերադարձնում է մի տող՝ հետադարձ տողերով, նախքան նիշերը, որոնք պետք է խուսափեն տվյալների բազայի հարցումներում, և այլն։ Այս նիշերն են մեկ մեջբերում ('), կրկնակի մեջբերում ("), հետին կտրվածք (\) և NUL (NULL բայթ)[17]։

Խուսափած տողերի սովորական փոխանցումը SQL-ին հակված է սխալների, քանի որ հեշտ է մոռանալ տրված տողից խուսափումը։ Մուտքագրումն ապահովելու համար թափանցիկ շերտ ստեղծելը կարող է նվազեցնել այս սխալի հակվածությունը, եթե ոչ ամբողջությամբ վերացնել այն[18]։

Նմուշի ստուգում[խմբագրել | խմբագրել կոդը]

Ամբողջական, լողացող կամ բուլյան, լարային պարամետրերը կարող են ստուգվել, եթե դրանց արժեքը վավեր է տվյալ տեսակի համար։ Տողերը, որոնք պետք է հետևեն որոշակի խիստ օրինաչափության (ամսաթիվ, UUID, միայն այբբենական թվային և այլն), կարող են ստուգվել, եթե դրանք համապատասխանում են այս օրինաչափությանը։

Տվյալների բազայի թույլտվությունները[խմբագրել | խմբագրել կոդը]

Վեբ հավելվածի կողմից օգտագործվող տվյալների բազայի մուտքի թույլտվությունները սահմանափակելը միայն այն է, ինչ անհրաժեշտ է, կարող է օգնել նվազեցնել ցանկացած SQL ներմուծման գրոհների արդյունավետությունը, որոնք օգտագործում են վեբ հավելվածում առկա սխալները։

Օրինակ, Microsoft SQL Server-ի վրա ,տվյալների բազայի մուտքը կարող է սահմանափակվել համակարգի որոշ աղյուսակների վրա ընտրելու հնարավորությունից, ինչը կսահմանափակի շահագործումները, որոնք փորձում են JavaScript-ը տեղադրել տվյալների բազայի բոլոր տեքստային սյունակներում։

deny select on sys.sysobjects to webdatabaselogon;
deny select on sys.objects to webdatabaselogon;
deny select on sys.tables to webdatabaselogon;
deny select on sys.views to webdatabaselogon;
deny select on sys.packages to webdatabaselogon;

Օրինակներ[խմբագրել | խմբագրել կոդը]

  • 2002 թվականի փետրվարին Ջերեմիա Ջեքսը հայտնաբերեց, որ Guess.com-ը խոցելի է SQL ններմուծման հարձակման համար, ինչը թույլ է տալիս յուրաքանչյուրին, ով կարող է ճիշտ մշակված URL ստեղծել՝ կայքի հաճախորդների տվյալների բազայում 200,000+ անուններ, կրեդիտ քարտերի համարներ և պիտանելիության ժամկետներ տեղադրելու համար[19]։
  • 2005 թվականի նոյեմբերի 1-ին դեռահաս հաքերն օգտագործել է SQL ներմուծում՝ ներխուժելու Tech Target խմբի թայվանական տեղեկատվական անվտանգության ամսագրի կայք և գողանալ հաճախորդների տեղեկությունները[20]։
  • 2006 թվականի հունվարի 13-ին ռուս համակարգչային հանցագործները ներխուժեցին Ռոդ Այլենդի կառավարական կայք և իբր գողացան կրեդիտ քարտի տվյալները այն անձանցից, ովքեր առցանց բիզնես են վարել պետական ​​գերատեսչությունների հետ[21]։
  • 2006 թվականի մարտի 29-ին հաքերը հայտնաբերեց SQL ներմուծման թերություն Հնդկաստանի կառավարության զբոսաշրջության պաշտոնական կայքում[22]։
  • 2008թ. մայիսին Չինաստանում գտնվող սերվերային ֆերմա օգտագործեց ավտոմատացված հարցումներ Google-ի որոնողական համակարգին՝ բացահայտելու SQL սերվերի կայքերը, որոնք խոցելի էին ավտոմատացված SQL ներարկման գործիքի հարձակման նկատմամբ[23][24]։
  • 2009 թվականի դեկտեմբերին հարձակվողը խախտել է RockYou պարզ տեքստային տվյալների բազան, որը պարունակում է մոտ 32 միլիոն օգտատերերի չգաղտնագրված օգտանուններ և գաղտնաբառեր՝ օգտագործելով SQL ներմուծան հարձակումը[25]։
  • Սեպտեմբերի 19-ին 2010-ի Շվեդիայի համընդհանուր ընտրությունների ժամանակ ընտրողը փորձեց կոդի ներմուծում՝ ձեռքով գրելով SQL հրամաններ՝ որպես գրելու քվեարկության մաս[26]։
  • 2010 թվականի նոյեմբերի 8-ին բրիտանական թագավորական նավատորմի կայքը վտանգի ենթարկվեց Tin Kode անունով ռումինացի հաքերների կողմից՝ օգտագործելով SQL ներմուծում[27][28]։
  • 2011 թվականի փետրվարի 5-ին HBGary, տեխնոլոգիական անվտանգության ընկերություն, ներխուժել է LulzSec-ը՝ օգտագործելով SQL ներմուծում իրենց CMS-ի վրա հիմնված կայքում[29]։
  • 2011 թվականի ապրիլի 11-ին Barracuda Networks-ը վտանգի ենթարկվեց՝ օգտագործելով SQL ներմուծման թերությունը։ Ձեռք բերված տեղեկությունների թվում էին աշխատակիցների էլեկտրոնային փոստի հասցեները և օգտվողների անունները:.[30]
  • 2011թ. ապրիլի 27-ին 4 ժամ տևողությամբ ավտոմատացված SQL ներմուծման հարձակում տեղի ունեցավ Broadband Reports կայքում, որը կարողացավ հանել օգտվողի անուն/գաղտնաբառ զույգերի 8%-ը.[31][32][33]
  • 2011 թվականի հունիսի 1-ին LulzSec խմբի «հաքթիվիստները» մեղադրվեցին SQLI-ի միջոցով գողանալու կտրոններ, ներբեռնման բանալիներ և գաղտնաբառեր, որոնք պահվում էին պարզ տեքստով Sony-ի կայքում՝ մուտք գործելով միլիոն օգտատերերի անձնական տվյալները.[34]
  • 2012 թվականի հուլիսին հաքերային խումբը գողացել է Yahoo!-ից 450,000 մուտքի հավատարմագրեր։ Մուտքագրումները պահվում էին պարզ տեքստով և իբր վերցված էին Yahoo ենթադոմեյնից՝ Yahoo! Ձայներ. Խումբը խախտել է Yahoo-ի անվտանգությունը՝ օգտագործելով «միության վրա հիմնված SQL ներմուծման տեխնիկա»[35][36]։
  • 2013 թվականի հունիսի 27-ին «RedHack» հաքերային խումբը կոտրել է Ստամբուլի վարչական կայքը[37]։ Նրանք պնդում էին, որ կարողացել են ջնջել ջրի, գազի, ինտերնետի, էլեկտրաէներգիայի, հեռախոսային ընկերություններին ունեցած պարտքերը։ Բացի այդ, նրանք հրապարակեցին ադմինիստրատորի օգտանունը և գաղտնաբառը, որպեսզի այլ քաղաքացիներ մուտք գործեն և վաղ առավոտյան մարեն իրենց պարտքերը։ Նրանք այդ լուրը հայտնել են Twitter-ից[38]։
  • 2013 թվականի նոյեմբերի 4-ին «RaptorSwag» հաքերային խումբն իբր կոտրել է Չինաստանի կառավարության 71 տվյալների բազա՝ օգտագործելով SQL ներմուծման հարձակման Չինաստանի միջազգային առևտրի պալատի վրա։ Արտահոսած տվյալները հրապարակվել են Anonymous-ի հետ համագործակցությամբ[39]։
  • 2014 թվականի փետրվարի 2-ին AVS TV-ն ուներ 40,000 հաշիվներ, որոնք արտահոսել էին հաքերային խումբը, որը կոչվում էր @deletesec: [40]
  • 2015 թվականի հոկտեմբերին SQL ներմուծման հարձակումն օգտագործվել է բրիտանական TalkTalk հեռահաղորդակցական ընկերության սերվերներից 156,959 հաճախորդների անձնական տվյալները գողանալու համար՝ օգտվելով ժառանգական վեբ պորտալի խոցելիությունից[41]։
  • 2020 թվականի օգոստոսին SQL ներմուծման հարձակումը կիրառվեց Ստենֆորդի շատ ուսանողների ռոմանտիկ հետաքրքրությունների մասին տեղեկատվություն ստանալու համար՝ Link-ի կողմից տվյալների ախտահանման անապահով ստանդարտների հետևանքով, որը հիմնադրվել էր համալսարանում բակալավրիատի Իշան Գանդիի կողմից[42]։
  • 2021 թվականի սկզբին 70 գիգաբայթ տվյալներ են արտահանվել ծայրահեղ աջակողմյան Gab կայքից SQL ներմուծման հարձակման միջոցով։ Խոցելիությունը ներմուծվել է Gab կոդերի բազա Ֆոսկո Մարոտտոյի՝ Gab-ի CTO-ի կողմից[43]:Երկրորդ հարձակումը Gab-ի դեմ սկսվեց հաջորդ շաբաթ՝ օգտագործելով առաջին հարձակման ժամանակ գողացված OAuth2 նշանները[44]։

Ծանոթագրություններ[խմբագրել | խմբագրել կոդը]

  1. Microsoft։ «SQL Injection»։ Արխիվացված է օրիգինալից August 2, 2013-ին։ Վերցված է 2013-08-04։ «SQL injection is an attack in which malicious code is inserted into strings that are later passed to an instance of SQL Server for parsing and execution. Any procedure that constructs SQL statements should be reviewed for injection vulnerabilities because SQLi Server will execute all syntactically valid queries that it receives. Even parameterized data can be manipulated by a skilled and determined attacker.» 
  2. Imperva (July 2012)։ «Imperva Web Application Attack Report»։ Արխիվացված է օրիգինալից September 7, 2013-ին։ Վերցված է 2013-08-04։ «Retailers suffer 2x as many SQL injection attacks as other industries. / While most web applications receive 4 or more web attack campaigns per month, some websites are constantly under attack. / One observed website was under attack 176 out of 180 days, or 98% of the time.» 
  3. Sean Michael Kerner (November 25, 2013)։ «How Was SQL Injection Discovered? The researcher once known as Rain Forrest Puppy explains how he discovered the first SQL injection more than 15 years ago.»։ Արխիվացված է օրիգինալից March 18, 2014-ին 
  4. Jeff Forristal (signing as rain.forest.puppy) (Dec 25, 1998)։ «NT Web Technology Vulnerabilities»։ Phrack Magazine 8 (54 (article 8))։ Արխիվացված է օրիգինալից March 19, 2014-ին 
  5. «Category:OWASP Top Ten Project»։ OWASP։ Արխիվացված է օրիգինալից May 19, 2011-ին։ Վերցված է 2011-06-03 
  6. «Category:OWASP Top Ten Project»։ OWASP։ Արխիվացված է օրիգինալից October 9, 2013-ին։ Վերցված է 2013-08-13 
  7. «WHID 2007-60: The blog of a Cambridge University security team hacked»։ Xiom։ Արխիվացված է օրիգինալից June 19, 2011-ին։ Վերցված է 2011-06-03 
  8. «WHID 2009-1: Gaza conflict cyber war»։ Xiom։ Արխիվացված է օրիգինալից October 7, 2011-ին։ Վերցված է 2011-06-03 
  9. «List of Web Hacking Incidents: DNS Hijacking»։ Xiom։ Արխիվացված է օրիգինալից June 18, 2009-ին 
  10. «Third Wave of Web Attacks Not the Last»։ Dark Reading։ Վերցված է 2012-07-29 
  11. Danchev Dancho (2007-01-23)։ «Mind Streams of Information Security Knowledge: Social Engineering and Malware»։ Ddanchev.blogspot.com։ Արխիվացված է օրիգինալից July 21, 2011-ին։ Վերցված է 2011-06-03 
  12. Deltchev Krassen։ «New Web 2.0 Attacks»։ B.Sc. Thesis։ Ruhr-University Bochum։ Արխիվացված է օրիգինալից April 2, 2012-ին։ Վերցված է February 18, 2010 
  13. «Extracting Multiple Bits Per Request From Full-blind SQL Injection Vulnerabilities»։ Hack All The Things։ Արխիվացված է օրիգինալից July 8, 2016-ին։ Վերցված է July 8, 2016 
  14. «Using SQLBrute to brute force data from a blind SQL injection point»։ Justin Clarke։ Արխիվացված է օրիգինալից June 14, 2008-ին։ Վերցված է October 18, 2008 
  15. «Questions for TalkTalk - BBC News»։ BBC News (անգլերեն)։ October 26, 2015։ Արխիվացված է օրիգինալից October 26, 2015-ին։ Վերցված է 2015-10-26 
  16. «SQL Injection Prevention Cheat Sheet»։ Open Web Application Security Project։ Արխիվացված է օրիգինալից January 20, 2012-ին։ Վերցված է 3 March 2012 
  17. «Addslashes - PHP Manual»։ PHP.net։ Արխիվացված է օրիգինալից September 5, 2011-ին 
  18. «Transparent query layer for MySQL»։ Robert Eisele։ November 8, 2010։ Արխիվացված է օրիգինալից November 11, 2010-ին 
  19. «Guesswork Plagues Web Hole Reporting»։ SecurityFocus։ March 6, 2002։ Արխիվացված է օրիգինալից July 9, 2012-ին 
  20. «WHID 2005-46: Teen uses SQL injection to break to a security magazine web site»։ Web Application Security Consortium։ November 1, 2005։ Արխիվացված է օրիգինալից January 17, 2010-ին։ Վերցված է December 1, 2009 
  21. «WHID 2006-3: Russian hackers broke into a RI GOV website»։ Web Application Security Consortium։ January 13, 2006։ Արխիվացված է օրիգինալից February 13, 2011-ին։ Վերցված է May 16, 2008 
  22. «WHID 2006-27: SQL Injection in incredibleindia.org»։ Web Application Security Consortium։ March 29, 2006։ Արխիվացված է օրիգինալից July 1, 2009-ին։ Վերցված է March 12, 2010 
  23. Sumner Lemon, IDG News Service (May 19, 2008)։ «Mass SQL Injection Attack Targets Chinese Web Sites»։ PCWorld։ Վերցված է May 27, 2008 (չաշխատող հղում)
  24. Michael Zino (May 1, 2008)։ «ASCII Encoded/Binary String Automated SQL Injection Attack»։ Արխիվացված է օրիգինալից June 1, 2008-ին 
  25. O'Dell Jolie (December 16, 2009)։ «RockYou Hacker - 30% of Sites Store Plain Text Passwords»։ New York Times։ Վերցված է May 23, 2010 
  26. «Did Little Bobby Tables migrate to Sweden?»։ Alicebobandmallory.com։ Արխիվացված է օրիգինալից July 1, 2012-ին։ Վերցված է 2011-06-03 
  27. Royal Navy website attacked by Romanian hacker Archived November 9, 2010, at the Wayback Machine. BBC News, 8-11-10, Accessed November 2010
  28. Sam Kiley (November 25, 2010)։ «Super Virus A Target For Cyber Terrorists»։ Արխիվացված է օրիգինալից November 28, 2010-ին։ Վերցված է November 25, 2010 
  29. «We Are Anonymous: Inside the Hacker World of LulzSec»։ Little, Brown and Company։ Արխիվացված է օրիգինալից July 18, 2012-ին 
  30. «Hacker breaks into Barracuda Networks database»։ Արխիվացված է օրիգինալից July 27, 2011-ին 
  31. «site user password intrusion info»։ Dslreports.com։ Արխիվացված է օրիգինալից October 18, 2012-ին։ Վերցված է 2011-06-03 
  32. «DSLReports says member information stolen»։ Cnet News։ 2011-04-28։ Արխիվացված է օրիգինալից March 21, 2012-ին։ Վերցված է 2011-04-29 
  33. «DSLReports.com breach exposed more than 100,000 accounts»։ The Tech Herald։ 2011-04-29։ Արխիվացված է օրիգինալից April 30, 2011-ին։ Վերցված է 2011-04-29 
  34. «LulzSec hacks Sony Pictures, reveals 1m passwords unguarded», electronista.com, June 2, 2011, արխիվացված օրիգինալից June 6, 2011-ին, https://web.archive.org/web/20110606051745/http://www.electronista.com/articles/11/06/02/lulz.security.hits.sony.again.in.security.message, վերցված է June 3, 2011 
  35. Chenda Ngak. "Yahoo reportedly hacked: Is your account safe?" Archived July 14, 2012, at the Wayback Machine., CBS News. July 12, 2012. Retrieved July 16, 2012.
  36. Yap Jamie (July 12, 2012)։ «450,000 user passwords leaked in Yahoo breach»։ ZDNet։ Արխիվացված է օրիգինալից July 2, 2014-ին։ Վերցված է 2017-02-18 
  37. «RedHack Breaches Istanbul Administration Site, Hackers Claim to Have Erased Debts»։ Արխիվացված է օրիգինալից June 29, 2013-ին 
  38. RedHack_EN (27 June 2013)։ «Open to public hacking. One of Governor of Istanbul's site User: 'or=' Pass: 'or=' Site:ioi.gov.tr/fatura/login.php pic.twitter.com/ZEHBFJLVfT» (Թվիթ)։ Արխիվացված է օրիգինալից August 12, 2016-ին 
  39. Kovacs Eduard (November 4, 2013)։ «Hackers Leak Data Allegedly Stolen from Chinese Chamber of Commerce Website»։ Softpedia News։ Արխիվացված է օրիգինալից March 2, 2014-ին։ Վերցված է 2014-02-27 
  40. «40,000 AVS TV Accounts Leaked»։ Maurihackers։ Արխիվացված է օրիգինալից February 19, 2015-ին։ Վերցված է 2015-02-19 
  41. «TalkTalk gets record £400,000 fine for failing to prevent October 2015 attack»։ 5 October 2016։ Արխիվացված է օրիգինալից October 24, 2016-ին։ Վերցված է 2016-10-23 
  42. Catania Sam (August 13, 2020)։ «Vulnerability in 'Link' website may have exposed data on Stanford students' crushes»։ The Stanfort Daily։ Վերցված է September 5, 2020 
  43. Goodin Dan (March 2, 2021)։ «Rookie coding mistake prior to Gab hack came from site's CTO»։ Ars Technica 
  44. Goodin Dan (March 8, 2021)։ «Gab, a haven for pro-Trump conspiracy theories, has been hacked again»։ Ars Technica 

Արտաքին հղումներ[խմբագրել | խմբագրել կոդը]