Security News :: Информационно-аналитическое издание по техническим средствам и системам безопасности
Поиск Контакты Карта сайта
Security News :: информационно-аналитическое издание по техническим средствам и системам безопасности
Security News
Security Focus

Услуги размещения публикаций на сайте Security News
 
 Газета 
 Статьи 
 Зарубежные новости 
 Под знаком PR 
 Новости 
 События отрасли 
 Дайджест СМИ 
 Фоторепортажи 
 Книги 
Добавить новость

Получайте новости Security News через Telegram

Получайте новости Security News через Telegram. Это самый оперативный способ читать их с любого устройства.



Security News





Книжная полка профессионала в безопасности
Газета "Security News" / Новости по системам безопасности / Как бы новости

На дороге -- смертельный номер!


01.04.2011

Делая уборку в закромах своего жесткого диска, редактор обнаружил любопытную фотографию. Изображение вызвало секундное замешательство, а потом взрыв смеха и бурный восторг в течение всего дня.

Номера на автомобиле, судя по всему, польские. Воспользовавшись сервисом поиска по изображению Tineye, редактор узнал, что картинка пользовалась популярностью в Интернете еще аж в 2009 году. Наверняка многие читатели нашей газеты тоже ее не видели. А те, кто видел, надеюсь, нас простят.

Так и не поняли, что это за таинственная надпись, наклеенная на бампер поверх государственных регистрационных знаков? Это выражение, написанное на SQL -- языке запросов к базам данных. Камеры фиксируют автомобильные номера, затем модуль оптического распознавания преобразует полученную графику в текст. А дальше происходит самое интересное -- этот текст подставляется в SQL-выражение, которое исполняется для получения информации из базы или, наоборот, создания новой записи в ней.

Подставляемое значение заключается в двойные или одинарные кавычки. Но если оно само будет содержать в себе закрывающую кавычку, то текст после нее представится серверу программным кодом. Такой тип хакерской атаки называется SQL-инъекцией. Наклеенная на бампер команда полностью удаляет базу данных под названием Tablice.

Защититься от SQL-инъекции несложно -- надо всего лишь подставлять обратную косую черту перед любыми кавычками при передаче значения. Эта процедура называется "экранированием" и входит в "правила хорошего тона" любого опытного программиста. Но кто же ждет, что угроза придет прямо из изображения, полученного естественным путем?!

Кстати, язык SQL используются во программной части многих веб-сайтов. Коробочные решения надежно защищены от SQL-инъекций, но сайты, сделанные студентом на коленке за $100, могут содержать по истине "детские" уязвимости. Зайдите на сайт конкурента и попробуйте ввести в поле регистрации выражения "); или ');. Если повезет, появится сообщение об ошибке, а в нем, может быть, будут названия таблиц. Что делать дальше, вопрос ваших этических предпочтений: можно написать письмо администратору с указанием на "дырку", а можно взяться за учебник языка SQL.

Очевидно, польский автомобилист был знаком с архитектурой базы, или даже работал над ее созданием. Неизвестно, получилось ли у него обрушить систему распознавания номеров, но он преподал всем отраслевым разработчикам хороший и занятный урок по информационной безопасности.

Количество показов: 3936

Возврат к списку

Передний край

ОПЕРАЦИИ КГБ В БРАЗИЛИИ

Спустя некоторое время Security News возвращается к невероятной истории о том, как безопасник из Якутска организовал успешный бизнес на другом конце земного шара. Сегодня наш герой бегло говорит на бразильской разновидности португальского, прекрасно ориентируется в обстановке — и по-прежнему дико занят, полон энергии и сил. И ему по-прежнему везёт. Впрочем, за этим везением стоит чисто русская смекалка, упорный труд и редкий для соотечественников оптимизм.

ЭПОХА СТАРТАПОВ

Крупные корпорации, как известно, в рыночном смысле несколько неповоротливы и инертны. А данные о высокой эффективности операций, почерпнутые из отчётов перед акционерами, зачастую выглядят не слишком правдоподобно. На этапе становления рынка крупным компаниям всегда легче: уже сложилась репутация, установилась клиентская база, выработаны навыки ведения переговоров. Когда рыночный пирог поделен «крупняком», мелким игрокам остаётся лишь подбирать крошки.

H.265 — МАРКЕТИНГОВЫЙ ТРЮК?

За прошедшие годы доминирующим видеокодеком в отрасли безопасности стал Н.264, но в последнее время ряд производителей и экспертов принялись весьма интенсивно «продавливать» Н.265. В связи с приходом нового кодека возникает ряд вопросов. Прежде всего общественность интересуется двумя: когда HEVC станет общеупотребительным и надолго ли всё это. Однако редакцию интересуют чуть более глубоко зарытые вещи: например, кто получит основные выгоды от перехода на новый стандарт кодирования, и не является ли это очередным маркетинговым трюком, позволяющим сдвинуть рыночный баланс в сторону определённых игроков.

RSSRSS
Присоединиться в ТвиттереTwitter
Присоединиться в FacebookTelegram
Присоединиться в LinkedInLinkedIn
Присоединиться в FacebookFacebook
Присоединиться в Google+Google+
Присоединиться ВКонтактеВКонтакте
Присоединиться в YoutubeYouTube
Присоединиться в ОдноклассникиОдноклассники
Присоединиться в LiveJournaLiveJournal

Книжная полка


Руководство по составлению спецификаций на системы контроля доступа (СКУД)

Руководство по составлению спецификаций на системы контроля доступа (СКУД)




Профессиональное видеонаблюдение. Практика и технологии аналогового и цифрового CCTV

Профессиональное видеонаблюдение. Практика и технологии аналогового и цифрового CCTV




Отбор и прием на работу операторов видеонаблюдения

Отбор и приём на работу операторов видеонаблюдения




IP-видеонаблюдение: наглядное пособие

IP-видеонаблюдение: наглядное пособие



Hits 45004431
10236
Hosts 4215664
811
Visitors 7695954
2056

29

© «Секьюрити Фокус», 2001-2016.
Свидетельство о регистрации электронного СМИ SECURITY NEWS ЭЛ № ФС 77-33582