Websecurity - Веб безпека

HackersBlog нещодавно опублікував інформацію про наявність SQL Injection на сайті Лабораторії Касперського, що дозволяє одержати доступ до списку користувачів, кодам активації й іншої критичної інформації шляхом простої модифікації адреси запитуваної веб-сторінки. У якості підтвердження був опублікований список імен таблиць (більше 150 штук), доступ до яких був отриманий таким чином, і декілька скріншотів, на яких можна побачити ім’я користувача, хеш пароля тощо.

Поки відкритим залишається питання як вплине це на кінцевих користувачів. Називається як мінімум два гіпотетичних сценарія збільшення проблеми: цілеспрямовані атаки на “засвічених” користувачів, а також модифікація сторінок оновлення з лінковкою затроянених версій продуктів. Ситуація не сама приємна, утім, відповідно до архівів Zone-h, з 2000 року вже було 36 взломів різних сайтів ЛК - наприклад, у липні минулого року через SQL Injection на малайзійському сайті ЛК були розміщені протурецкі гасла.

По матеріалам http://bugtraq.ru.

This entry was posted on 22:43 04.03.2009 and is filed under Новини. You can follow any responses to this entry through the RSS 2.0 feed.