Через три года после
дефейса сайта Объединенных Наций
через SQL-инъекцию сервер все еще остается
уязвим к этому типу ошибок.

Исследователь Робер Грэхем, глава Errata Security, проверил сайт Объединенных
наций и обнаружил, что хотя уязвимость трехгодичной давности закрыта, множество
SQL-инъекций все еще остаются действующими. "Если кликнуть на "распечатать
статью" и попробовать использовать ту же ошибку — она сработает", — пишет он в

блоге
.

Грэхем так же привел

пример
, как легко можно взломать раздел с выступлениями главного секретаря
ООН.

Джорджио Маоне, разработчик плагина NoScript для Firefox и программист
InformAction, в свою очередь говорит, что SQL-инъекция на сайте ООН типичный
пример того, как администраторы слишком полагаются на закрытие уязвимостей при
помощи Web application firewalls (WAF) нежели на самом деле исправлять ошибки.
Он так же обращает внимание на то, что баг, приведший к дефейсу оставался
незакрытым в течении нескольких месяцев.



Оставить мнение