• Thứ Hai, 05/05/2008 12:27 (GMT+7)

    Cách hack CSDL Oracle mới

    Kĩ thuật tấn công mới “lateral SQL injection” có thể giúp hacker đoạt được quyền cao nhất (administrator) trên máy chủ Oracle.

    Mới đây nhà nghiên cứu bảo mật David Litchfield đã công bố chi tiết một kĩ thuật tấn công mới có thể giúp hacker đoạt được quyền truy cập vào cơ sở dữ liệu (CSDL) Oracle.

    Trong một cuộc trả lời phỏng vấn báo chí hôm 24/4/2008 ông Litchfield cho biết, kĩ thuật tấn công này được đặt tên là “lateral SQl injection”, có thể cho phép tin tặc đoạt được quyền quản trị (administrator) CSDL trên máy chủ Oracle nhằm thay đổi/xóa dữ liệu hay thậm chí là cài đặt phần mềm. Kiểu tấn công này được ông Litchfield tiết lộ lần đầu tại hội nghị Black Hat Washington hồi tháng 2/2008.

    Để tấn công, hacker cần tạo ra những thuật ngữ tìm kiếm đặc biệt để lừa CSDL chạy các lệnh SQL. Trước đây các chuyên gia bảo mật cho rằng, kĩ thuật “SQL injection” chỉ có tác dụng nếu như hacker có thể chèn thêm các chuỗi kí tự vào trong CSDL. Cuộc trình diễn của ông Litchfield đã cho thấy, kĩ thuật tấn công này có thể hoạt động khi sử dụng các loại dữ liệu như ngày tháng hoặc số.

    Kĩ thuật tấn công của ông Litchfield nhắm mục tiêu là ngôn ngữ lập trình Procedural Language/SQL được nhiều nhà phát triển CSDL Oracle sử dụng.

    Ông Litchfield không chắc chắn về mức độ phổ biến của các lỗi bảo mật “lateral SQL injection”, nhưng ông khẳng định, kiểu tấn công này có thể thực sự gây ra những thiệt hại đáng kể.

    Các nhà lập trình CSDL được khuyến cáo nên kiểm tra lại mã nguồn ứng dụng nhằm bảo đảm mọi thủ tục xử lí dữ liệu đều an toàn, không thể bị chèn thêm các lệnh SQL.

    Oracle chưa có bất kỳ bình luận nào về thông tin trên đây.

    Bạch Đình Vinh
    Theo IDG News Service, 25/4/2008

    ID: O0805_1