"Um dos grupos mais antigos e ainda em atividade, conhecido como Fatal Error, invadiu na noite de ontem o site da Força Aérea Brasileira. Juntamente com este ataque o defacer desfigurou outros 6 sites da FAB.Entramos em contato com o defacer, para descobrir qual foi o método utilizado no ataque e descobrimos que a falha explorada foi SQL Injection.
Segundo o defacer o site da FAB está "todo vulnerável" a ataques de SQL Injection.
Este tipo de ataque não depende de sistema operacional ou da linguagem de programação do site (ASP, PHP, ColdFusion e etc...), os fatores que levam a este tipo falha são o erro no tratamento de querys sql por quem desenvolveu o site, permitindo assim ao defacer manipular as informações dentro do banco de dados usando apenas a URL do site e somado com a configuração errada do webserver, leva ao agravamento da falha de segurança, permitindo muitas vezes que um usuário malicioso envie arquivos para dentro do servidor.
Este grupo efetuou entre os dias 19 e 21 deste mês o maior ataque a sites do Governo Brasileiro, com um total de 302 invasões e novamente por uma falha de SQL Injection...
Apesar da maioria dos administradores de rede e/ou servidores web não darem muita importância as páginas criadas pela sua equipe de programadores webs, eles deveriam ao menos configurarem seus servidores de maneira adequada, para evitar que um pequeno ataque de SQL Injection, possa resultar em uma invasão em massa ou o que é muito pior, o roubo de todas as informações do banco de dados, através de um DUMP remoto.
Mas como existe uma grande diferença entre o que é correto fazer e o que realmente fazem, temos registrado centenas de ataques a empresas mundialmente famosas e inúmeros sites de Governo, e quase todos, por um ataque de SQL Injection." (Artigo original)
Fonte: http://br.zone-h.org
Segundo o defacer o site da FAB está "todo vulnerável" a ataques de SQL Injection.
Este tipo de ataque não depende de sistema operacional ou da linguagem de programação do site (ASP, PHP, ColdFusion e etc...), os fatores que levam a este tipo falha são o erro no tratamento de querys sql por quem desenvolveu o site, permitindo assim ao defacer manipular as informações dentro do banco de dados usando apenas a URL do site e somado com a configuração errada do webserver, leva ao agravamento da falha de segurança, permitindo muitas vezes que um usuário malicioso envie arquivos para dentro do servidor.
Este grupo efetuou entre os dias 19 e 21 deste mês o maior ataque a sites do Governo Brasileiro, com um total de 302 invasões e novamente por uma falha de SQL Injection...
Apesar da maioria dos administradores de rede e/ou servidores web não darem muita importância as páginas criadas pela sua equipe de programadores webs, eles deveriam ao menos configurarem seus servidores de maneira adequada, para evitar que um pequeno ataque de SQL Injection, possa resultar em uma invasão em massa ou o que é muito pior, o roubo de todas as informações do banco de dados, através de um DUMP remoto.
Mas como existe uma grande diferença entre o que é correto fazer e o que realmente fazem, temos registrado centenas de ataques a empresas mundialmente famosas e inúmeros sites de Governo, e quase todos, por um ataque de SQL Injection." (Artigo original)
Fonte: http://br.zone-h.org
Nenhum comentário:
Postar um comentário