martedì 29 marzo 2011

SQL Injection al sito MySQL.com



MySQL.com è stato “bucato” da alcuni cracker in maniera quasi paradossale: il sito è stato infatti attaccato tramite una SQL Injection, mediante la quale sono stati portati in pubblico i dati immagazzinati nel database.

I cracker sono così riusciti a mettere in luce la debolezza del sito, rivelando inoltre l’assoluta inadeguatezza degli accorgimenti per la sicurezza utilizzati, come ad esempio le password, costituite da stringhe basilari come “qa” o al massimo di quattro cifre, come quella usata dal “Director of Product Management”.
Il dump contenente user e password utilizzate è stato pubblicato sulla Full Disclosure Mailing List, ma va precisato come il sito non sia stato violato sfruttando una vulnerabilità di MySQL, bensì facendo perno su alcuni errori commessi in fase di implementazione del database stesso.
A finire nel mirino è stato anche il sito della capogruppo Sun/Oracle, dal quale sono emerse email e tabelle.






Fonte: oneitsecurity

Nessun commento:

Posta un commento