clarinetista
19-06-2011, 19:24
La web oficial de la CNN ha sido atacada, hay múltiples vulnerabilidades de inyección SQL expuestos por hacker llamado "Sec Indi ".
SQL Injection es una técnica de ataque contra aplicaciones de base de datos, consistente en aprovechar los mecanismos de entrada de la aplicación informática fruto del ataque para introducir valores a través de los mismos, que puedan alterar las sentencias SQL que dicha aplicación ejecutará contra su base de datos, consiguiendo de este modo ejecutar código SQL malicioso e invasor. Esta vulnerabilidad resulta más peligrosa cuanto mayores son los permisos concedidos al usuario utilizado para acceder a la base de datos
Enlaces vulnerables SQL Injection :
1.) http://cgi.money.cnn.com/tools/collegecost/collegecost.jsp?college_id='7966
2.) http://cgi.money.cnn.com/tools/fortune/compare_2009.jsp?id=11439%27
Imágenes enviadas por el hacker:
http://2.bp.blogspot.com/-npgeAJBSiPs/Tf3riCztUeI/AAAAAAAACNc/80AJm1PDYvg/s640/f9gs2a.png
http://1.bp.blogspot.com/-c0pMZaI0Qok/Tf3rjNkRimI/AAAAAAAACNg/rZZxlAQoYsA/s640/nz3qm1.png
Segun revelaba el atacante, notifico en dos o tres ocasiones a los adminstradores de la pagina,pero siguieron sin corregirlo.
FUENTE: hackernews
SQL Injection es una técnica de ataque contra aplicaciones de base de datos, consistente en aprovechar los mecanismos de entrada de la aplicación informática fruto del ataque para introducir valores a través de los mismos, que puedan alterar las sentencias SQL que dicha aplicación ejecutará contra su base de datos, consiguiendo de este modo ejecutar código SQL malicioso e invasor. Esta vulnerabilidad resulta más peligrosa cuanto mayores son los permisos concedidos al usuario utilizado para acceder a la base de datos
Enlaces vulnerables SQL Injection :
1.) http://cgi.money.cnn.com/tools/collegecost/collegecost.jsp?college_id='7966
2.) http://cgi.money.cnn.com/tools/fortune/compare_2009.jsp?id=11439%27
Imágenes enviadas por el hacker:
http://2.bp.blogspot.com/-npgeAJBSiPs/Tf3riCztUeI/AAAAAAAACNc/80AJm1PDYvg/s640/f9gs2a.png
http://1.bp.blogspot.com/-c0pMZaI0Qok/Tf3rjNkRimI/AAAAAAAACNg/rZZxlAQoYsA/s640/nz3qm1.png
Segun revelaba el atacante, notifico en dos o tres ocasiones a los adminstradores de la pagina,pero siguieron sin corregirlo.
FUENTE: hackernews