IT资讯/综合软件下载站!┆ 最新软件 最新文章 最新手机 UFO外星人 网站分类

您当前的位置→图文中心新闻资讯业界快讯TinKode和Ne0h的两名黑客利用SQL盲注攻击破解MySQL.com网站

TinKode和Ne0h的两名黑客利用SQL盲注攻击破解MySQL.com网站


2011/3/30  编辑:admin 来源:本站整理 

名为TinKode和Ne0h的两名黑客已成功获得MySQL.com网站上的敏感信息,MySQL.com是流行的开源数据库网站。

  黑客使用了SQL盲注攻击侵入网站,并泄露了全披露邮件列表(The Full Disclosure Mailing List)上的违规细节。

  于2009年收购了Sun Microsystems,最近又新收购了MySQL的数据库部门的甲骨文公司,尚未承认这些违规行为。在网站上,SQL注入攻击利用网站漏洞是很常见的。这些漏洞可以让攻击者在数据库内执行查询等一些请求操作。如果数据库返回一个错误,精明的黑客利用这些信息就可以获得更广泛的访问,访问到包含基本数据的服务器。`

  在黑客共享的数据中,一些被破解的密码哈希可以揭示mySQL.com网站帐号登录的完整细节,包括前产品管理主任Robin Schumacher的WordPress帐号登录细节以及前社区关系副总裁Kaj Arnö的登录信息。

  一些密码揭示了简单的短语。Schumacher将密码设置为四个简单的数字,且其中三个数字是重复的。黑客还发布了一些其他没有密码哈希表的数据库表。

  有关Sun.com网站的信息也被发布。数据中包含了一系列的栏目,表格和一个受到SQL注入攻击的Sun网站的数据库。这些似乎只揭示了密码的缺陷,不过它确实显示出了一些公司的邮件地址。

  虽然有些尴尬,但是不得不承认,这个漏洞不是MySQL数据库管理系统软件中的漏洞,而是网站的编码漏洞,Chester Wisniewski在 Sophos的Naked Security博客中这样写道,他是一个高级安全顾问。

  Wisniewski表示,MySQL的网站也容易遭受ancross站点脚本(XSS)漏洞,该漏洞于2011年1月公布,但到目前为止该漏洞还未得到解决。“对你的网站进行SQL注入审计是非常重要的,同时还要使用安全的密码,”Wisniewski写道,“否则,这些攻击会让你感到绝望。”

下一页给政府网站挂“黑链”赚钱

相关文章
  • ·[图文]华硕ROG GTX 1080 Ti规格怎么样 玩游戏如何
  • ·[图文]超高端DIY装机配置 4万i7-6950X配GTX1080tTi顶级电脑配置推荐
  • ·[图文]GTX1080Ti超频跑分多少
  • ·[组图]印度与马达加斯加之间的印度洋海底发现疑是失落的“毛里提亚”(Mauritia)古大陆...
  • ·[图文]Bootstrap jquery.twbsPagination.js动态页码分页实例代码
  • ·[图文]Time Note时光笔记软件怎么样?Time Note时光笔记有哪些功能特色?
  • ·[图文]苹果ios11怎么样 ios11FaceTime多人通话怎么样
  • ·[图文]苹果ios11怎么样 ios11FaceTime多人通话怎么样
  • 发表评论
    栏目列表
    阅读排行
    网站帮助 - 广告合作 - 下载声明 - 网站地图