tag
SQL-инъекция
2 статей с этим тегом
CVSS9.82026-06-12
Массовая утечка MOVEit (2023) — как zero-day SQL-инъекция достигла 2700+ организаций и как защититься
Входом стала zero-day SQL-инъекция (CVE-2023-34362) в выходящем в интернет MOVEit Transfer. Был установлен веб-шелл (LEMURLOOT), и данные массово украдены из базовой БД, затронув 2700+ организаций и ~93,3 млн человек. Большинство жертв задеты косвенно, потому что MOVEit использовал поставщик. В вашей среде: быстрый патчинг KEV, минимизация открытости, минимальные привилегии и сегментация web↔БД, инвентаризация поставщиков и минимизация данных.
2026-06-08
Что такое SQL-инъекция (SQLi) — когда ввод переписывает команды вашей базы данных
SQLi — это когда ввод читается как «часть команды», а не данные, меняя смысл запроса — прямой путь к чтению/изменению/удалению. Реальная защита — перестать склеивать SQL строками и передавать значения через плейсхолдеры (подготовленные выражения).