В очередной раз на Web-сервере в домене nasa.gov (aerocenter.gsfc.nasa.gov) хакером, скрывающемся под псевдонимом TinKode, была обнаружена классическая уязвимость, SQL-инъекция [1] (видимо собсем плохо обстоит дело с веб-безопасностью у Национального управления США по аэронавтике и исследованию космического пространства). Скриншот с уязвимым сценарием, который приводит исследователь:
То есть, классическая SQL-инъекция под 5-м мускулем. Кроме того, наиболее простая к компрометации базы, т.к. за один http-запрос можно получить все необходимые данные:
В приводимых примерах TinKode можно заметить, что в СУБД, в том числе, хранятся и ПДн (астронавтов или простых смертных?):
...
[3] user
[4] actualname
[5] firstname
[6] lastname
[7] username
[8] userpassword
...
[11] email
[12] phone
...
[25] cal_lastname
[26] cal_firstname
[27] cal_middlename
[28] cal_email
...
[34] country
...
[113] cal_login
[114] cal_passwd
...
Замечено хранение паролей администраторов не в виде plain-текста, а в формате MD5 (хоть, где-то процесс ИБ работает...):
Правда, со слов TinKode, "...and they can be easily cracked." ;))
Хех, да там на каждом шагу скули.
ОтветитьУдалитьИнтересна конкретизация, а не абстракция :) А еще больше интересен нанесенный ущерб от использования и время реакции.
ОтветитьУдалить