Security News :: Информационно-аналитическое издание по техническим средствам и системам безопасности
Поиск Контакты Карта сайта
Security News :: информационно-аналитическое издание по техническим средствам и системам безопасности
Security News
Security Focus

Услуги размещения публикаций на сайте Security News
 
 Газета 
 Статьи 
 Зарубежные новости 
 Под знаком PR 
 Новости 
 События отрасли 
 Дайджест СМИ 
 Фоторепортажи 
 Книги 
Добавить новость

Получайте новости Security News через Telegram

Получайте новости Security News через Telegram. Это самый оперативный способ читать их с любого устройства.



Security News





Библи видеонаблюдения - 3
Газета "Security News" / Новости по системам безопасности / Как бы новости

На дороге -- смертельный номер!


01.04.2011

Делая уборку в закромах своего жесткого диска, редактор обнаружил любопытную фотографию. Изображение вызвало секундное замешательство, а потом взрыв смеха и бурный восторг в течение всего дня.

Номера на автомобиле, судя по всему, польские. Воспользовавшись сервисом поиска по изображению Tineye, редактор узнал, что картинка пользовалась популярностью в Интернете еще аж в 2009 году. Наверняка многие читатели нашей газеты тоже ее не видели. А те, кто видел, надеюсь, нас простят.

Так и не поняли, что это за таинственная надпись, наклеенная на бампер поверх государственных регистрационных знаков? Это выражение, написанное на SQL -- языке запросов к базам данных. Камеры фиксируют автомобильные номера, затем модуль оптического распознавания преобразует полученную графику в текст. А дальше происходит самое интересное -- этот текст подставляется в SQL-выражение, которое исполняется для получения информации из базы или, наоборот, создания новой записи в ней.

Подставляемое значение заключается в двойные или одинарные кавычки. Но если оно само будет содержать в себе закрывающую кавычку, то текст после нее представится серверу программным кодом. Такой тип хакерской атаки называется SQL-инъекцией. Наклеенная на бампер команда полностью удаляет базу данных под названием Tablice.

Защититься от SQL-инъекции несложно -- надо всего лишь подставлять обратную косую черту перед любыми кавычками при передаче значения. Эта процедура называется "экранированием" и входит в "правила хорошего тона" любого опытного программиста. Но кто же ждет, что угроза придет прямо из изображения, полученного естественным путем?!

Кстати, язык SQL используются во программной части многих веб-сайтов. Коробочные решения надежно защищены от SQL-инъекций, но сайты, сделанные студентом на коленке за $100, могут содержать по истине "детские" уязвимости. Зайдите на сайт конкурента и попробуйте ввести в поле регистрации выражения "); или ');. Если повезет, появится сообщение об ошибке, а в нем, может быть, будут названия таблиц. Что делать дальше, вопрос ваших этических предпочтений: можно написать письмо администратору с указанием на "дырку", а можно взяться за учебник языка SQL.

Очевидно, польский автомобилист был знаком с архитектурой базы, или даже работал над ее созданием. Неизвестно, получилось ли у него обрушить систему распознавания номеров, но он преподал всем отраслевым разработчикам хороший и занятный урок по информационной безопасности.

Количество показов: 4341

Возврат к списку

Передний край

ДРОНЫ: НАЙТИ И ОБЕЗВРЕДИТЬ

Обзор технологий обнаружения и обезвреживания БПЛА. Бум беспилотных летательных аппаратов затронул и индустрию безопасности. Вполне возможно, что вскоре появится спрос на решения по организации «малой противовоздушной обороны» объектов.

КАМЕРЫ ПОД ПРИЦЕЛОМ ЛАЗЕРОВ

Самый высокотехнологичный из способов борьбы с охранными камерами — интенсивный пучок света, направленный в объектив, вызывает избыточную засветку чувствительного элемента — яркость достигает предельного значения, и изображение оказывается полностью либо частично «залито» однородным пятном. Даже при весьма широком динамическом диапазоне с попавшим в кадр прожектором справятся далеко не все камеры. Сам прожектор, скорее всего, будет виден неплохо. А вот разглядеть под ним фигуру человека с автоматом «узи», связкой гранат, украденным из офиса ноутбуком и чертами лица недавно сбежавшего из психушки маньяка — весьма затруднительно.

РЕШАЕМ ПРОБЛЕМЫ С СЕТЬЮ

Вы купили дорогое и функциональное сетевое устройство, и вам не терпится ввести своё новое приобретение «в бой». Очевидно, что единственный способ заставить покупку работать — подключить её к локальной компьютерной сети (конечно, вы можете использовать IP-камеры как муляжи, но если вы хотите, чтобы устройство функционировало, без сети не обойтись никак). К сожалению, не всегда новый видеорегистратор работает «из коробки» — при интеграции устройств в сетевую инфраструктуру может возникнуть ряд неочевидных трудностей, обусловленных, как правило, самой инфраструктурой. Маркетинговый миф о простоте IP-видеонаблюдения был опровергнут головной болью практического опыта.

RSSRSS
Присоединиться в ТвиттереTwitter
Присоединиться в FacebookTelegram
Присоединиться в LinkedInLinkedIn
Присоединиться в FacebookFacebook
Присоединиться в Google+Google+
Присоединиться ВКонтактеВКонтакте
Присоединиться в YoutubeYouTube
Присоединиться в ОдноклассникиОдноклассники
Присоединиться в LiveJournaLiveJournal

Книжная полка


Руководство по составлению спецификаций на системы контроля доступа (СКУД)

Руководство по составлению спецификаций на системы контроля доступа (СКУД)




IP-видеонаблюдение: наглядное пособие

IP-видеонаблюдение: наглядное пособие




Процедура работы с цифровыми изображениями в системах видеонаблюдения

Процедура работы с цифровыми изображениями в системах видеонаблюдения




Руководство по применению камер видеонаблюдения

Руководство по применению камер видеонаблюдения



Hits 56039384
20855
Hosts 4951834
2561
Visitors 9264628
4926

41

© ИА «Безопасность Сегодня», 2017.
© «Секьюрити Фокус», 2001-2016.
Свидетельство о регистрации электронного СМИ SECURITY NEWS ЭЛ № ФС 77-33582