據(jù)來自Sucuri博客的消息，MySQL官方網(wǎng)站MySQL.com被SQL注入攻擊（blind SQL injection）。一篇博客文章（MySQL.com Vulnerable To Blind SQL Injection Vulnerability）披露了MySQL.com數(shù)據(jù)庫的漏洞及數(shù)據(jù)庫結(jié)構(gòu)的dump部分。

Vulnerable Target ： http://mysql.com/customers/view/index.html?id=1170

Host IP ： 213.136.52.29

Web Server ： Apache/2.2.15 （Fedora）

Powered-by ： PHP/5.2.13

Injection Type ： MySQL Blind

Current DB ： web

攻擊者通過MySQL.com上查看用戶的頁面進(jìn)入，獲取到了數(shù)據(jù)庫、表及存儲用戶密碼的dump數(shù)據(jù)（如何獲取并未公布）。如果你在MySQL.com有用戶，建議盡快更改密碼。

更嚴(yán)重的是，攻擊者將用戶密碼數(shù)據(jù)公布在網(wǎng)上讓其他人進(jìn)行破解。更糟糕的是MySQL產(chǎn)品負(fù)責(zé)人的密碼已被破解（竟然是4位數(shù)字），blogs.mysql.com的多個用戶的密碼也被破解。

MYSQL官方目前沒有任何回應(yīng)。

文章來源：http://www.cnbeta.com/articles/138456.htm

【編輯推薦】

1. SQL注入攻擊三部曲之入門篇
2. 研究員開發(fā)新技術(shù) 抵御SQL注入攻擊
3. Web下SQL注入攻擊的檢測與防御
4. 解析阻止或減輕SQL注入攻擊實(shí)用招數(shù)