MySQL.com和Sun.com到底是如何被黑的?

【 3月30日外电头条】28日早上,甲骨文的许多人面红耳赤,原因是甲骨文旗下的两个网站:MySQL.com和Sun.com在上周末被经验极其老道的亦正亦邪的罗马尼亚黑客TinKode和搭档Ne0h攻破了。(可参阅《MySQL.com被SQL注入攻击 用户密码数据被公布》)这两个网站是一种来源尚未明确的SQL盲注攻击手法的受害者–你以为,MySQL的开发人员和管理员们完全知道如何防范这种类型的攻击。很显然,你想错了。

 

热文推荐:对搜狐、网易和TOM三大门户网站的SQL注入漏洞检测

检测在线数据库SQL注入漏洞的利器:HP Scrawlr

下面是具体的经过:星期天一大早,Jackh4xor安全组织向Full Disclosure(全面披露)邮件列表发去一封邮件,解释MySQL.com”很容易遭到SQL盲注攻击漏洞的袭击。”该邮件将MySQL.com客户浏览页面列为是目标网站。有人从MySQL.com网站窃取了一批数量惊人的数据库、表和字段,还有一小部分的用户名和密码,它们有的采用加密形式,有的没有加密。

此后不久,声称来自罗马尼亚Slacker.Ro的TinKode和Ne0h的一份冗长的列表出现在了Pastebin网站上。TinKode(或者更准确地说,是打着TinKode名号的那个人)曾先后闯入了美国陆军网站、Eset、美国宇航局、英国国防部、路透社及其他知名机构的网站。TinKode还称Jackh4x0r是”我们的朋友”;他声称,他和Ne0h在今年1月发现了这个安全漏洞。

TinKode的列表包括几个关键的用户名,如”sys”和”sysadmin”,还包括它们被破解的相应密码–最可能是使用彩虹表(rainbow table),从加密的密码中提取出来的。Sys(系统)的密码是”phorum5″;sysadmin(系统管理员)的密码是”qa.”。显然,一些网站管理员不想为使用复杂的密码而操心。

MySQL.com网站包括几个WordPress博客(WordPress在MySQL上运行),TinKode和Ne0h都极其友善,把其中许多博客的ID和密码告诉给了全世界。前任MySQL项目管理主管(他在2009年以后就没有更新过其博客)的用户名为”admin”,密码是”6661″。前任社区关系副总裁(他在2010年1月以后就没有写过博文)同样采用了”admin”的用户名,相应的密码是”grankulla”。我觉得,公司头头们都不愿使用复杂的密码。 (编者注:话说网站密码的记忆的确是个大问题,如果不愿自己记密码,借助一些工具也不错。参考文章《1Password密码管理器使用指南》、《自己都不记得的密码 才是惟一安全的密码

值得一提的是,MySQL并不是因密码被窃取或被猜出而中黑手的。TinKode和Ne0h采用SQL盲注攻击手法,就攻破了该网站,他们针对的目标是接口,而不是数据库。TinKode还声称控制了MySQL.fr、MySQL.it、jp.MySQL.com和MySQL.de这四个网站。

TinKode对于黑掉Sun.com过程的描述似乎平淡无奇,只借助一份窃取来的表和字段,还有少数几个电子邮件地址,但根本没用到密码。至于他们是没有找到密码、根本就是不要密码,还是说将密码藏着掖着准备搞更邪恶的事,并不清楚。Sun.com是不是因MySQL.com遭到的同一种注入攻击手法而被攻破也不清楚。

谁监管监管者?这年头,还真不好说。

文章来源:http://www.infoworld.com/t/hacking/analysis-how-mysqlcom-and-suncom-got-hacked-909

【.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】

【编辑推荐】

  1. 打击黑客:从单打独斗到联合围剿
  2. MySQL.com被SQL注入攻击 用户密码数据被公布
  3. Opera称不受伊朗黑客伪造证书事件影响
  4. Web2.0时代 需要防范黑客的5种新型在线攻击

文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/152094.html<

(0)
运维的头像运维
上一篇2025-03-13 20:35
下一篇 2025-03-13 20:37

相关推荐

  • 2022年的五大网络安全挑战

    为了在2021年的基础上再接再厉,CISO需要努力实现在业务中加速创新,同时又避免自身易受破坏性攻击的影响。 [[441231]] 安全专业人士应该关注以下五大趋势: 1. “假设…

  • 格格不入?GDPR、数字身份和区块链

    不可更改的记录和GDPR数据主体权利能共存吗?为什么区块链或许满足不了数据隐私需求? [[251061]] 技术行业里有时候你不得不与矛盾的需求共处。我们经常发现自己处于在平衡“人…

  • 2016年值得瞩目的五个IT安全趋势

    在时尚界,也许有一种说法是潮流不是跟的,而是等的;但到了IT安全圈,无论你是代表正义还是身处邪恶的一方,都需要做到一个政治常用词——与时俱进。关于新的安全技术,你可以不跟,但了解绝…

  • IoT安全噩梦:Skill Squatting

    联网设备快速增殖,物联网(IoT)技术迅速超越了基本联网装置和可穿戴设备的范畴,语音处理等更复杂的互动式功能开始冒头,智能音箱之类声控设备迎来极大增长。 Adobe Analyti…

  • 数据隐私日:六个方面保护你的数据和隐私

    1月28日是数据隐私日,其设立的目的是提醒人们关注数据隐私,并以自身实际行动来保护个人信息安全。网络犯罪分子和数据挖掘者时刻都在觊觎和窃取人们的信息和数据,因此需要了解保护数据隐私…

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注