לפעמים מופיעות ידיעות על אתר זה או אחר שנפרץ והושחת.

הלם ותדהמה? לא.

חדשות? נורא קצת.

בפעם האחרונה כתבתי על SQL Injection באוקטובר 2006 אבל כנראה שצריך להמשיך לכתוב כדי שאנשים ישימו לב.

שימו לב! אם האתר שלכם מתוכנת לא כמו שצריך, אפשר להשחית אותו, לשנות בו את התכנים רק על ידי כתיבת פקודות בדפדפן. אין צורך "לפרוץ אל השרת" בשום מובן מקובל של המילה.

העובדה ששילמתם המון כסף על האתר שלכם לא אומרת כלום.

לדוגמה, נכנסתי לאתר גדול מאד מהמגזר השלישי, שכבר פרצו אליו פעם, ובדקתי.

עדיין אפשר לפרוץ אליו.

בדקתי עוד אתר – אתר של ארגון "אח". גם אליו אפשר לפרוץ. (למבינים, באחד מהם אפילו שם ה DB היה חשוף – משהו כמו cellinfo_NV315473. חשיפת ה NV יכולה לאפשר דברים הרבה יותר רעים!)

בדקתי מי הקים להם את האתרים. חברה גדולה, מוכרת ומכובדת שאיתה "אי אפשר לפספס". ניגשתי לאתר שלהם ובדקתי אתרים אחרים שהם הקימו. גם הם מועדים לפריצה והשחתה. גם הם אתרים של מוסדות גדולים ומכובדים.

איך בדקתי ולמה נזכרתי שוב בעניין?

ראיתי איפה שהוא הפניה לתוכנה של HP בשם Scrawlr

אפשר להוריד אותה בחינם ולהתקין. אחר כך מכניסים כתובת אתר והתוכנה מבצעת על האתר בדיקה לקראת פריצה. תתפלאו מה שתגלו. חפשו בעיקר אתרים שיש בכתובת שלהם asp. אתרים בטכנולוגיית מיקרוסופט.

אז אולי בעוד שנה אזכר שוב ואכתוב שוב. אני מניח שעד אז יושחתו עוד אתרים ויופיעו עוד ידיעות לא חדשות בעיתונות המחשבים.

לקריאה נוספת על SQL Injection