Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

McAffee és MySQL

2011.03.27. 19:47 | buherator | 2 komment

Itt a tavasz, és engem megnyugvással tölt el, hogy vannak még páran rajtam kívül, akik a napsütésben döglés helyett bitet forrasztanak. Ezen a lusta vasárnapon két meglepő és mulattságos szösszenet is érkezett.

Az egyik a McAffee-t érinti (emlékeztek, ők osztogattak Hacker Safe plecsniket egy időben mindenféle oldalaknak), akiknek sikerült úgy konfigurálni a webszeverüket, hogy kilátszódtak az .ASP szkriptek forrásai. Az alábbi ábra azt szemlélteti, hogyan kell karbantarthatatlan kódot gyártani bedrótozott konstansok segítségével:

A másik versenyző a MySQL.com, ahol is - dobpergés - blind SQL injection hibát szúrt ki egy bizonyos Jack. Az alkalmazás persze jó érzékkel DB rootként érte el az adatbázist, így a jelszó hash-ek is kikerültek, meg is fejtették őket hamar. Látható, hogy rendkívül tapasztalt támadókkal akadt össze az Oracle, hiszen elképesztő számítási kapacitást kellett bevetni a jelszavak megfejtéséhez:

A fenti konfigurációkat ellenőrzött vállalati környezetben követték el tapasztalt rendszer- és adatbázisadminisztrátorok. Semmiképpen se próbáljátok ki ugyanezt a rátok bízott hálózatokban!

Friss: Előkerült egy Sun.com dump is

Címkék: sun incidens mysql sql injection mcafee

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

conscience 2011.03.28. 02:44:42

"Itt a tavasz, és engem megnyugvással tölt el, hogy vannak még páran rajtam kívül, akik a napsütésben döglés helyett bitet forrasztanak. Ezen a lusta vasárnapon két meglepő és mulattságos szösszenet is érkezett."

Hmm... Ami azt illeti, cirka egy éve nem jártam érdemben sehol a kecón kívül, leszámítva az újévi kötelező kört, meg a napi-kétnapi "lemegyekabótbakávéért" rutint. In dö mínvájl, válogatott nyelveken kínoztam a pléhdobozt. Most, hogy bevallottad bűnödet, már nem érzem magam annyira pszichopatának. (Habár a fogalom specifikációjában tökéletesen megülök. Aggódnom kellene?)

A poszt remek, kifejezetten kedélyes vérhajnallal ajándékozott meg, a következetesen tagolt 'Case' -szösszenetet pedig szívmelengetőnek érzem. :)
(Kieg.: GOTO -val lett volna csak igazán átütő a mestermű)

conscience 2011.03.28. 02:52:35

Whoa! Még a végén minek néztek itten... Szóval az első zárójel tartalma egy >> :D terminated string << mint ez is :D