Cross-tenant SQL Injection
23:50 25.03.2026Нещодавно дослідники з Tenable виявили дев’ять уразливостей в Google Looker Studio, які прозвали LeakyLooker дірками. Вони дозволяли робити довільні SQL запити до БД і отримувати дані з хмари. В тому числі був доступ між тенантами.
Були використані BigQuery, Sheets, PostgreSQL та інші конектори. Це можна назвати Cross-tenant SQL Injection, коли був доступ між різною хмарною інфраструктурою.
У своїй статті Класифікація SQL Injection уразливостей я навів два типи SQLi - Reflected SQL Injection та Persistent SQL Injection, а вже в 2010 році навів третій тип Encoded SQL Injection. Можливо це буде новим типом.
