SQLi будет жить, пока безопасность на стадии разработки не станет нормой

Татьяна Никитина 11 Января 2021 - 13:59

...

SQLi будет жить, пока безопасность на стадии разработки не станет нормой

Возможность внедрения SQL-кода (SQL injection, SQLi) была впервые признана уязвимостью более 20 лет назад, однако она до сих пор зачастую всплывает в веб-приложениях. Матиас Маду (Matias Madou), технический директор и соучредитель компании Secure Code Warrior, уверен, что этот тривиальный баг будет и впредь составлять угрозу для пользователей, пока разработчики не научатся привносить безопасность в программные коды.

Баг SQLi, по мнению эксперта, легко устранить. Учитывая почтенный возраст проблемы, она должна присутствовать только в унаследованном софте и непропатченных системах. Тем не менее, создатели веб-приложений повторяют эту ошибку вновь и вновь.

Атака внедрением SQL-кода не требует специальных знаний и навыков, а последствия могут быть весьма неприятными — SQLi до сих пор занимает первое место в рейтинге рисков OWASP Top 10. Так, в минувшем августе поставщик графического контента Freepik сообщил о компрометации учетных данных 8,3 млн пользователей в результате SQLi-атаки. За три месяца до этого в США был открыт процесс по делу украинца Виталия Антоненко, которого обвинили в краже сотен тысяч номеров кредитных карт и персональных данных посредством массовых взломов через SQLi.

К сожалению, многие дипломированные программисты, по словам Маду, имеют слабое представление о защитном кодировании. Для проведения специальных тренингов у бизнес-структур не хватает квалифицированных кадров и возможностей, а подчас и желания. Новые языки программирования вроде Rust помогают избавиться от некоторых типовых багов, однако использование устаревших систем и библиотек сводит на нет все усилия по обеспечению безопасности корпоративной инфраструктуры.

Эксперт призывает интернет-сообщество повысить культуру создания программных продуктов, стимулировать разработчиков к освоению приемов безопасного программирования и не жалеть времени на подготовку качественных, защищенных кодов.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 27 Мая 2026 - 16:13

Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники пугают дачников штрафами от имени Росреестра

Росреестр предупреждает о мошенниках, которые действуют от имени ведомства и рассылают сообщения о «штрафах» за различные нарушения земельного законодательства. Такие сообщения содержат фишинговые ссылки: при переходе по ним злоумышленники могут похитить учётные записи на различных сервисах или платёжные данные.

Как сообщает «Российская газета», злоумышленники пользуются тем, что в российском земельном законодательстве появилось много изменений. В том числе речь идёт о нормах, связанных с необработанными участками и распространением на них инвазивных растений, например борщевика Сосновского.

Мошенники рассылают сообщения, в том числе от имени Росреестра, и сообщают о якобы назначенном штрафе. В письме или сообщении обычно есть ссылка, по которой предлагается оплатить штраф со скидкой. На деле она ведёт на фишинговый ресурс, где пользователь рискует передать злоумышленникам платёжные реквизиты или доступ к учётной записи на «Госуслугах».

В дальнейшем такие аккаунты могут использоваться для оформления кредитов от имени реального владельца или для шантажа, в том числе с угрозами продажи недвижимости и других последствий.

Заместитель руководителя Росреестра Максим Смирнов отметил, что ведомство привлекает к ответственности только по результатам контрольного или надзорного мероприятия и после составления протокола об административном правонарушении. Собственника уведомляют по установленным процедурам — заказным письмом или через «Госуслуги».

Если таких уведомлений не было, сообщения из других источников следует считать мошенническими. Росреестр, как и другие официальные структуры, не рассылает уведомления о штрафах через СМС или мессенджеры.

«Ни в коем случае не переходите по подозрительным ссылкам в СМС или в чатах в мессенджерах с угрозами штрафов за нарушения на участках — по этим каналам постановления о назначении такого административного наказания не распространяются», — напомнил Максим Смирнов.

Ранее злоумышленники уже действовали от имени Росреестра. Так, осенью 2025 года была выявлена кампания с использованием реальных данных об объектах недвижимости. Цели атак различались: помимо кражи аккаунтов, мошенники могли навязывать вредоносные приложения или развивать атаку для перевода крупных сумм на подконтрольные счета.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!