Атака через бумагу

Кажется, SQL Injection - это неиссякаемая тема для семинаров.

Все серьезные разработчики давно понимают, что данные, приходящие из браузера, могут использоваться для этой атаки. Но что, если вредноносный код заранее поместили в базу данных каким-то законным способом? Допустим, клиент отредактировал свой адрес и включил туда SQL-код. Во время редактирования адреса атака ещё не происходит, приложение спокойно дает сохранить любой текст. А в момент атаки приложение получает вредноносный код из базы, которой оно доверяет; в этом случае программист может и забыть защититься.

А вот развитие этой идеи: кому-то удалось провести атаку через бумажную анкету. Т.е. человек написал от руки некий SQL в анкете, фирма её отсканировала, потом динамически сформировала запрос, в который был внедрен вредноносный код. Правда, я не представляю, как это смог сделать посторонний хакер; с первого раза вряд ли можно угадать всё параметры запроса. Скорее всего, это был человек изнутри.

Все присутствующие заохали от восторга. А я вообще-то планировал такую атаку ещё 12 лет назад. То был 1998 год, дефолт. Заказчик затягивал оплату за мою программу. В наши дни для веб-разработчика очень просто организовать "чёрный ход" в свою программу. Но то было Windows-приложение, и не было никакой возможности подключиться к серверу заказчика и заблокировать систему в случае неуплаты. Поэтому мы рассматривали такой вариант: подставное лицо приходит к нему в качестве клиента, заполняет анкету с определенными ключевыми словами, и система блокируется. Но в конце концов мы решили, что это слишком рискованно: блокировка может случайно сработать. Так что я тогда сделал простую временную бомбу. И она пригодилась: как мы и подозревали, заказчик отказался платить. В назначенный момент система продолжала работать, но не давала экспортировать данные (а это была очень важная для них функция). В тот же день нам перечислили деньги, а я послал им маленький скрипт, вроде такого: UPDATE Config SET IsBlocked = 0 :)