Исследование и устранение уязвимости SQL-инъекции в плагине Apptha WordPress Video Gallery для Cms WordPress

Исследование и устранение уязвимости SQL-инъекции в плагине Apptha WordPress Video Gallery для Cms WordPress

Автор: Пестриков Р.А.

Журнал: Вестник Пермского университета. Математика. Механика. Информатика @vestnik-psu-mmi

Рубрика: Информатика. Информационные системы

Статья в выпуске: 3 (42), 2018 года.

Бесплатный доступ

Рассмотрены механизмы реализации атак типа SQL-инъекции, приводящие к нарушению целостности, конфиденциальности и доступности информации, хранящейся в базе данных. В качестве примера рассмотрен плагин для системы управления содержимым WordPress, в котором исследована и устранена уязвимость, приводящая к SQL-инъекции. А также описаны рекомендации для обеспечения безопасности при построении динамических SQL-запросов.

Sql-инъекции, динамический запрос, безопасность, уязвимый запрос

Короткий адрес: https://sciup.org/147245385

IDR: 147245385   |   УДК: 004.056.5   |   DOI: 10.17072/1993-0550-2018-3-124-128

SQL injection vulnerability research and troubleshooting in Apptha WordPress Video Gallery plug-in for CMS WordPress

The article deals with the mechanisms for implementing SQL injection attacks, which lead to the violation of the integrity, confidentiality and availability of information stored in the database. As an example, a plug-in for the WordPress content management system was studied, in which the vulnerability was investigated and fixed, as it leads to a SQL injection. The article also gives some security recommendations for building dynamic SQL-queries.

Список литературы Исследование и устранение уязвимости SQL-инъекции в плагине Apptha WordPress Video Gallery для Cms WordPress

  • Егоров М. Выявление и эксплуатация SQL-инъекций в приложениях // Комплексная и информационная безопасность. URL: https://npo-echelon.ru/doc/echelon-sql. pdf (дата обращения: 12.02.2018).
  • Claudio Viviani. WordPress Plugin Video Gallery 2.7.0 - SQL Injection / Exploit description, 2015. URL: https://www.exploit-db.com/exploits/36058/ (дата обращения: 15.02.2018).
  • Description CVE-2015-2065 / SQL injection vulnerability in the Apptha WordPress Video Gallery №2.8. URL: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2065 (дата обращения: 12.02.2018).
  • WordPress. Database description / Table details. URL: https://codex.wordpress.org/-Database_Description (дата обращения: 13.02.2018).
  • Open Web Application Security Project / About The Open Web Application Security Project. URL: https://www.owasp.org/index.php/Main_Page (дата обращения: 13.02.2018).
QR-код для установки приложения SciUp Наведите камеру и скачайте бесплатное приложение SciUp