Gamle angrep blir som nye

Gamle angrep blir som nye

Nye offline webprogrammer blir utsatt for en velkjent misbruksmetode.

Webbaserte programmer som tar utgangspunkt i Google Gears eller Database Storage-funksjonen i HTML 5 er sårbare for angrep. Begge bruker en lokal database, som kan angripes ved hjelp av den beryktede SQL-injection-metoden, skriver Computerworld Danmark.

Det var Michael Sutton fra Zscaler som presenterte sårbarheten på Blackhat-sikkerhetskonferansen i Washington DC i forrige uke.

Han advarte mot at hackere nå får muligheten til å skrive klient-side SQL-injection (clSQLi), som kan gi angriperne muligheten til å lese og skrive til den lokale databasen.

LES OGSÅ: Sikkerhetsleverandør hacket

Det er ennå ikke mange webbaserte programmer som har muligheten til å kjøre offline.

- Webprogrammer med lokale databaser ved hjelp av HTML 5 er sjeldne på nåværende tidspunkt, fordi det kun er Webkit-baserte nettlesere som har implementert den funksjonen (Safari, red.anm.), skriver Sutton på bloggen sin.

Han tror likevel at bildet vil endre seg raskt, og at det er viktig for sikkerhetsfolk og utviklere å være trusselen bevisst.

- Trusselen vil endre seg med de nye meldinger vi nå får inn med at Gmail innlogging offline utvikles for Iphone og Android, med utgangspunkt i HTML 5 Database storage. Google Gears-baserte programmer finnes allerede så clSQLi-trusselen er reell nå, skriver Sutton.

LES OGSÅ: Hacking-helg rammer Norge