自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

MySQL.com和Sun.com到底是如何被黑的?

原創(chuàng)
作者:布加迪 譯
安全 新聞
出人意料的是,黑客偏偏采用SQL注入攻擊手法,攻破了MySQL.com和Sun.com這兩個(gè)網(wǎng)站。

【51CTO 3月30日外電頭條】28日早上,甲骨文的許多人面紅耳赤,原因是甲骨文旗下的兩個(gè)網(wǎng)站:MySQL.com和Sun.com在上周末被經(jīng)驗(yàn)極其老道的亦正亦邪的羅馬尼亞黑客TinKode和搭檔Ne0h攻破了。(可參閱《MySQL.com被SQL注入攻擊 用戶密碼數(shù)據(jù)被公布》)這兩個(gè)網(wǎng)站是一種來源尚未明確的SQL盲注攻擊手法的受害者--你以為,MySQL的開發(fā)人員和管理員們完全知道如何防范這種類型的攻擊。很顯然,你想錯(cuò)了。

MySQL.com和Sun.com到底是如何被黑的? MySQL.com和Sun.com到底是如何被黑的?

熱文推薦:對搜狐、網(wǎng)易和TOM三大門戶網(wǎng)站的SQL注入漏洞檢測

檢測在線數(shù)據(jù)庫SQL注入漏洞的利器:HP Scrawlr

下面是具體的經(jīng)過:星期天一大早,Jackh4xor安全組織向Full Disclosure(全面披露)郵件列表發(fā)去一封郵件,解釋MySQL.com"很容易遭到SQL盲注攻擊漏洞的襲擊。"該郵件將MySQL.com客戶瀏覽頁面列為是目標(biāo)網(wǎng)站。有人從MySQL.com網(wǎng)站竊取了一批數(shù)量驚人的數(shù)據(jù)庫、表和字段,還有一小部分的用戶名和密碼,它們有的采用加密形式,有的沒有加密。

此后不久,聲稱來自羅馬尼亞Slacker.Ro的TinKode和Ne0h的一份冗長的列表出現(xiàn)在了Pastebin網(wǎng)站上。TinKode(或者更準(zhǔn)確地說,是打著TinKode名號(hào)的那個(gè)人)曾先后闖入了美國陸軍網(wǎng)站、Eset、美國宇航局、英國國防部、路透社及其他知名機(jī)構(gòu)的網(wǎng)站。TinKode還稱Jackh4x0r是"我們的朋友";他聲稱,他和Ne0h在今年1月發(fā)現(xiàn)了這個(gè)安全漏洞。

TinKode的列表包括幾個(gè)關(guān)鍵的用戶名,如"sys"和"sysadmin",還包括它們被破解的相應(yīng)密碼--最可能是使用彩虹表(rainbow table),從加密的密碼中提取出來的。Sys(系統(tǒng))的密碼是"phorum5";sysadmin(系統(tǒng)管理員)的密碼是"qa."。顯然,一些網(wǎng)站管理員不想為使用復(fù)雜的密碼而操心。

MySQL.com網(wǎng)站包括幾個(gè)WordPress博客(WordPress在MySQL上運(yùn)行),TinKode和Ne0h都極其友善,把其中許多博客的ID和密碼告訴給了全世界。前任MySQL項(xiàng)目管理主管(他在2009年以后就沒有更新過其博客)的用戶名為"admin",密碼是"6661"。前任社區(qū)關(guān)系副總裁(他在2010年1月以后就沒有寫過博文)同樣采用了"admin"的用戶名,相應(yīng)的密碼是"grankulla"。我覺得,公司頭頭們都不愿使用復(fù)雜的密碼。 (編者注:話說網(wǎng)站密碼的記憶的確是個(gè)大問題,如果不愿自己記密碼,借助一些工具也不錯(cuò)。參考文章《1Password密碼管理器使用指南》、《自己都不記得的密碼 才是惟一安全的密碼

值得一提的是,MySQL并不是因密碼被竊取或被猜出而中黑手的。TinKode和Ne0h采用SQL盲注攻擊手法,就攻破了該網(wǎng)站,他們針對的目標(biāo)是接口,而不是數(shù)據(jù)庫。TinKode還聲稱控制了MySQL.fr、MySQL.it、jp.MySQL.com和MySQL.de這四個(gè)網(wǎng)站。

TinKode對于黑掉Sun.com過程的描述似乎平淡無奇,只借助一份竊取來的表和字段,還有少數(shù)幾個(gè)電子郵件地址,但根本沒用到密碼。至于他們是沒有找到密碼、根本就是不要密碼,還是說將密碼藏著掖著準(zhǔn)備搞更邪惡的事,并不清楚。Sun.com是不是因MySQL.com遭到的同一種注入攻擊手法而被攻破也不清楚。

誰監(jiān)管監(jiān)管者?這年頭,還真不好說。

文章來源:http://www.infoworld.com/t/hacking/analysis-how-mysqlcom-and-suncom-got-hacked-909

【51CTO.com獨(dú)家譯稿,非經(jīng)授權(quán)謝絕轉(zhuǎn)載!合作媒體轉(zhuǎn)載請注明原文出處及出處!】

【編輯推薦】

  1. 打擊黑客:從單打獨(dú)斗到聯(lián)合圍剿
  2. MySQL.com被SQL注入攻擊 用戶密碼數(shù)據(jù)被公布
  3. Opera稱不受伊朗黑客偽造證書事件影響
  4. Web2.0時(shí)代 需要防范黑客的5種新型在線攻擊
責(zé)任編輯:佟健 來源: 51CTO.com
MySQL.comSun.com黑客SQL注入
相關(guān)推薦

2011-04-01 09:42:58

2011-03-16 11:21:54

Sun消失

2011-09-27 09:39:22

2011-03-21 10:02:42

甲骨文sunsun.com

2011-03-21 10:05:48

甲骨文Sun

2009-07-23 09:11:45

MySQL.com

2011-04-13 16:09:17

2011-09-30 10:18:46

2019-12-18 18:31:10

黑客醫(yī)療保險(xiǎn)軟件

2011-03-28 14:29:32

2022-08-08 08:00:00

人工智能機(jī)器學(xué)習(xí)計(jì)算機(jī)應(yīng)用

2024-02-22 08:00:00

SoraOpenAI

2021-08-02 09:01:05

MySQL 多版本并發(fā)數(shù)據(jù)庫

2019-05-28 13:50:27

MySQL幻讀數(shù)據(jù)庫

2024-03-15 08:06:58

MySQLJOIN命令

2022-05-24 17:00:41

區(qū)塊鏈IT比特幣

2010-04-02 16:46:43

云計(jì)算

2022-08-12 08:03:59

算力網(wǎng)絡(luò)算力網(wǎng)絡(luò)

2013-04-24 09:08:17

Google眼鏡

2023-12-15 07:23:39

電子管半導(dǎo)體芯片集成電路
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)