Unu megint alkotott. Bár úgy tűnik, a támadás nem ad lehetőséget közvetlenül érzékeny felhasználói adatok illetve céges információk kiszivárgására, egy ilyen jellegű kiskapu mindig egy öles lépéssel közelebb visz a rendszer "szíve" felé. A részletekkel jelentkezem, ha megjelennek!
Yahoo! SQL injection
2009.02.28. 09:45 | buherator | 11 komment
Címkék: yahoo sql injection
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.
|Z| 2009.02.28. 14:52:35
buherator · http://buhera.blog.hu 2009.02.28. 15:05:19
|Z| 2009.03.01. 00:59:49
Az biztos hogy nagyon sok cég még nagyon messze van ettől, és addig nagyon sok wannabe lesz a főoldalon ilyen hírekkel. Mert az a pentester, aki megtalálta a másik 547 hibát majd átverte a szervezeten hogy ki is legyen javítva, az nem kerül főoldalra. Bár nem is szeretne. Na, befejeztem :)
buherator · http://buhera.blog.hu 2009.03.01. 12:23:32
|Z| 2009.03.01. 14:42:51
A román srác bizonyára torrentről szedte a cuccot, míg a cégnek 2 lehetősége van: vagy megfizet egy céget, hogy szkennelje bizonyos időközönként (máris van egy sérülékenységi idő) és elemezzék ki amit találtak, vagy maguknak megveszik és maguk elemzik. Tegyük fel, minderre van pénz paripa posztó (itt már elvérzett a cégek 80%-a). Akkor tegyük fel, találnak egy valós sérülékenységet. Saját tapasztalat, hogy amíg nincs gáz, akár hónapokig is eltarthat, mire kijavítják a hibát és élesbe megy a javítás (ami ténylegesen is megoldja a problémát) - újabb idő a sérülékenység kihasználására.
A lényeg amit mondani akarok: gyakran nem a "nem hozzáértés" a baj (bár a fejlesztő részéről ez nyilvánvalóan baj, dehát őt is csak sürgetik hogy "csak működjön és akkor mehet is a release élesbe"), hanem a folyamatszervezés/határidők/pénz/erőforrás.
Na meg természetesen az arányok, hogy a román srácnak elég egyetlen hibát találnia egy bizonyos időben, míg a szervezetnek minden időben minden hibát javítania kellene -> ezt a kettőt nehéz összemérni.
buherator · http://buhera.blog.hu 2009.03.01. 15:07:04
A biztonsági vizsgálatok jobb helyen a funkcionális tesztekhez hasonlóan bele kellene hogy simuljanak a fejlesztési folyamatba, így a javítás is sokkal gyorsabb és egyszerűbb lehetne.
Egyébként persze, igazad van: a hibákat kiszúrni könnyű, hibátlan kódot írni szinte lehetetlen - igazságtalan egy játék. De ettől még a figyelemfelkeltésre szükség van.
EQ · http://rycon.hu 2009.03.01. 15:45:43
|Z| 2009.03.01. 18:32:38
Illetve olvastam valahol, hogy a logokból is ez derült ki, de ezt most hirtelen nem találom.
@buherator: teljesen egyetértek mindennel, jobb helyen így kellene lennie.
|Z| 2009.03.01. 18:43:30
news.softpedia.com/news/Several-ESET-NOD32-Websites-Vulnerable-105688.shtml
Ez szerintem azért mókás, mert itt az látszik, hogy a hibás sql query-kről csinált screenshotot. Azért, mert nem akart tovább menni, vagy azért, mert nem is tudta hogy kell, már jó kérdés :)
synapse · http://www.synsecblog.com 2009.03.02. 10:55:21
egy_egy 2009.03.06. 15:04:04