ロンドンで開かれたセキュリティ会議で報告される予定の内容。
SQLインジェクションでDBサーバのリソースを使って管理者バスワードのブルーとフォースをかけるデモをする。
「つまりSQLインジェクションでWebアプリを攻撃すれば、DB内のデータを奪取するだけでなく、DBMSが稼動しているホストの会話型アクセスを得ることもできるってことだ。」
SQL Injection Attack Helps Hack OS - Application and Perimeter Security News Analysis - Dark Reading
"This means that if I can attack a Web application through a SQL injection, I am not limited to access the data stored on the database, but I can try to get an interactive access to the host where the DBMS resides," he says.
brute-force hacking of the system administrator password using the database CPU resources, uses the Web app as an initial stage of the attack.
Revelli also plans to release this week a new version of his Sqlninja hacking tool, which he'll use in his demo.
http://sqlninja.sf.net/
Leave a comment