SQLi будет жить, пока безопасность на стадии разработки не станет нормой

Татьяна Никитина 11 Января 2021 - 13:59

...

SQLi будет жить, пока безопасность на стадии разработки не станет нормой

Возможность внедрения SQL-кода (SQL injection, SQLi) была впервые признана уязвимостью более 20 лет назад, однако она до сих пор зачастую всплывает в веб-приложениях. Матиас Маду (Matias Madou), технический директор и соучредитель компании Secure Code Warrior, уверен, что этот тривиальный баг будет и впредь составлять угрозу для пользователей, пока разработчики не научатся привносить безопасность в программные коды.

Баг SQLi, по мнению эксперта, легко устранить. Учитывая почтенный возраст проблемы, она должна присутствовать только в унаследованном софте и непропатченных системах. Тем не менее, создатели веб-приложений повторяют эту ошибку вновь и вновь.

Атака внедрением SQL-кода не требует специальных знаний и навыков, а последствия могут быть весьма неприятными — SQLi до сих пор занимает первое место в рейтинге рисков OWASP Top 10. Так, в минувшем августе поставщик графического контента Freepik сообщил о компрометации учетных данных 8,3 млн пользователей в результате SQLi-атаки. За три месяца до этого в США был открыт процесс по делу украинца Виталия Антоненко, которого обвинили в краже сотен тысяч номеров кредитных карт и персональных данных посредством массовых взломов через SQLi.

К сожалению, многие дипломированные программисты, по словам Маду, имеют слабое представление о защитном кодировании. Для проведения специальных тренингов у бизнес-структур не хватает квалифицированных кадров и возможностей, а подчас и желания. Новые языки программирования вроде Rust помогают избавиться от некоторых типовых багов, однако использование устаревших систем и библиотек сводит на нет все усилия по обеспечению безопасности корпоративной инфраструктуры.

Эксперт призывает интернет-сообщество повысить культуру создания программных продуктов, стимулировать разработчиков к освоению приемов безопасного программирования и не жалеть времени на подготовку качественных, защищенных кодов.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Апреля 2026 - 17:53

Соответствие законодательству РФ Домашние пользователи Государство

К 2030 году у каждого россиянина появится цифровой медицинский профиль

К 2030 году у каждого россиянина должен появиться цифровой медицинский профиль. Об этом заявил глава Минздрава Михаил Мурашко на расширенном заседании коллегии ведомства, где обсуждали итоги работы за 2025 год и планы на 2026-й.

По словам министра, к этому же сроку в стране должны завершить создание единой цифровой платформы для управления здоровьем.

Идея в том, чтобы собрать в одной системе всё, что связано с пациентом: данные о состоянии здоровья, сведения о маршруте лечения, информацию о ресурсах медорганизаций и даже о компетенциях врачей.

Фактически Минздрав продолжает линию на постепенный отказ от бумажного формата. Цифровизация в медицине идёт не первый год, но теперь акцент явно смещается с отдельных сервисов на единую платформу, которая должна связать данные, учреждения и врачей в общий контур.

Параллельно министерство собирается ещё активнее расширять применение искусственного интеллекта. Причём ИИ хотят использовать не только в диагностике и лечении, но и в более рутинных задачах: для составления расписаний, голосового ввода протоколов и запуска чат-ботов для пациентов.

Если всё это действительно дойдёт до полноценной реализации, для пациентов это должно означать более связанную и удобную систему: меньше бумажной волокиты, быстрее доступ к данным и более цельную картину лечения.

Но, как обычно бывает с такими большими цифровыми проектами, главный вопрос будет не только в сроках, но и в том, насколько аккуратно получится собрать всё это в одну работающую систему.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!