Ай Ком Сервис MySQL сделали SQL-инъекцию - 28 Марта 2011 - Ай Ком Сервис
Главная » 2011 » Март » 28 » MySQL сделали SQL-инъекцию
23:35
MySQL сделали SQL-инъекцию
Румынские хакеры, откликающиеся на имена TinKode и Ne0h, опубликовали в Сети данные, собранные ими в результате взлома сайтов mysql.com и sun.com. По последним официальным данным, сайт MySQL содержит по крайней мере две уязвимости: одна типа SQL-инъекция, а вторая — типа межсайтовый скриптинг (XSS). Благодаря первой из них взломщикам удалось заполучить список баз данных, использующихся этим ресурсом, список таблиц некоторых этих баз, а также содержимое таблиц с данными об их пользователях с логинами и паролями, хэшированными при помощи стандартной функции MySQL password().


Кроме того, удалось обнаружить email-адреса пользователей, также с хэшами паролей (MD5). Некоторые из паролей того и другого типа удалось восстановить. Нельзя не отметить исключительную простоту некоторых из вскрытых паролей. Например, пользователи с весьма примечательными логинами "sys" и "sysadm" завели себе пароли "phorum5" и "qa" соответственно. А почта одного из руководителей высшего звена MySQL запаролена последовательностью из четырёх цифр, три первые из которых одинаковы. Эксперт компании Sophos Честер Вишневски (Chester Wisniewski) не без иронии предполагает, что эти же цифры являются пин-кодом пластиковой карты этого человека. В свою очередь, хакеры отмечают, что обе уязвимости mysql.com (имеющие также место и на региональных сайтах компании) были обнаружены ими ещё в начале января. Результаты взлома они решили предать гласности после того, как их приятель по имени Jackh4x0r воспользовался той же "дырой" и опубликовал всё, что только смог через неё вытащить. TinKode и Ne0h нашли XSS-уязвимость в двух поддоменах sun.com (Sun Microsystems приобрела MySQL в 2008 году, а через два года продалась вместе со всеми потрохами компании Oracle). Через эту "дыру" удалось выкрасть менее критичную информацию: во всяком случае, никаких логинов-паролей хакеры не публикуют, а самым значительным их достижением стал список корпоративных email-адресов. В самой MySQL и Sun пока не прокомментировали эти инциденты.







Категория: Интернет угрозы | Просмотров: 620 | Добавил: Administrator | Теги: XSS-уязвимость, взлом, хакеры, mysql, кража данных, SQL-инъекция | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]