Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 23/3/2012
Fem procent af webstederne på nettet har mindst en sårbarhed, der tillader SQL-indsætning for brugere uden autentifikation.Det tal er sikkerhedsfirmaet WhiteHat Security nået frem til ud fra analyser af websteder fra over 500 virksomheder. Et andet sikkerhedsfirma, Immunity, ser samme andel.
Tallet angiver, hvor stor en del af webstederne der har en sårbarhed, som lader en angriber indsætte SQL-kode via en webside. Det kan ske i et formularfelt eller som parameter i en URL. Sårbarheden gør, at SQL-koden sendes videre til webstedets underliggende database, hvor den bliver udført. På den måde kan angribere få adgang til fortrolig information, ændre på webstedets indhold eller udføre andre kommandoer.
Tallet er begrænset til de websteder, hvor man ikke behøver være registreret som bruger og indtaste brugernavn og adgangskode. Tager man også dem med, er 14 procent af alle websteder sårbare.
Undersøgelsen bygger på scanninger af websteder, der blev scannet frem til for et år siden.
Anbefaling
Udviklere af websteder bør tjekke deres kode for SQL-indsætning og fjerne sårbarheden.