• Thứ Tư, 11/07/2007 13:51 (GMT+7)

    Website Microsoft.co.uk không chống nổi vụ tấn công “SQL injection”

    Hôm 27/6/2007 hacker đã tấn công thành công vào trang web có domain tại Anh của Microsoft, khiến trang web này hiển thị bức ảnh một đứa bé đang vẫy cờ A-rập Xê-út.

    Hôm 29/6/2007 giám đốc tư vấn bảo mật Roger Halbheer của Microsoft tại châu Âu, Trung Đông, châu Phi cho biết, thật không may là website đó lại bị thương tổn. Vấn đề đã được khắc phục nhưng nó cho thấy, các công ty phần mềm lớn với những chuyên gia kĩ thuật giỏi vẫn có thể bị hacker gây hại.

    Hacker gây ra vụ này có tên là "rEmOtEr", dùng kĩ thuật “SQL (Structured Query Language) injection“ khai thác một lỗi lập trình trong website để truy cập trái phép vào cơ sở dữ liệu (CSDL), ông Halbheer cho biết.

    Website lấy các truy vấn SQL được nhúng trong dòng URL (uniform resource locator) rồi chuyển cho CSDL. Trong kiểu tấn công “SQL injection”, hacker sẽ nhúng vào URL của truy vấn một dạng (form) khác lạ khiến máy chủ trả về nhiều thông báo lỗi. Từ những thông báo lỗi này, hacker có thể lần ra cấu trúc của CSDL và tinh chỉnh câu truy vấn SQL để CSDL sẽ xử lí câu lệnh nhập (insert) dữ liệu chứ không phải câu lệnh truy lục (retrieve) dữ liệu. Rốt cuộc, hacker tìm ra cách phối hợp đúng và insert một liên kết (link) tới website bên ngoài vào CSDL (trong trường hợp của trang microsoft.co.uk là liên kết tới hai bức ảnh, một đồ họa, một ảnh chụp màn hình có trên trang Zone-H.org).

    Theo ông Halbheer, có hai cách để tránh kiểu tấn công “SQL injection“. Thứ nhất, CSDL không nên cho phép trả về các thông báo lỗi. Thứ hai, ứng dụng web nên xác nhận tính hợp lệ của URL nhận được và loại bỏ mọi URL không xử lí được.


    Bạch Nam Anh
    Theo IDG News Service, 29/6/2007

    ID: O0707_1