Det är Alberto Revelli på IT-säkerhetsföretaget Portcullis Computer Security som menar sig ha hittat en metod att använda SQL-injektioner för att skaffa sig interaktiv åtkomst till operativsystemet via ett grafiskt gränssnitt.

Till vardags är han penetrationstestare och går även under namnet icesurfer. Han menar att eftersom dagens system för att styra databaser har verktyg och funktioner som är kopplade till både nätverk och operativsystem så öppnar det en väg in till det system varifrån databasen styrs.

Hans hack är en kombination av SQL-injektion och metoder för att undvika att en brandvägg eller IPS upptäcker upprepade försök att gissa administratörens lösenord. För det jobbet använder han databasens CPU-resurser.

I sitt exempel använder Revelli Microsofts SQL Server men han hävdar att samma metod bör fungera på alla databastekniker. Han använder också sitt verktyg sqlninja, som han utlovar en ny version av snart.

Källa: Dark Reading