Τα προσωπικά στοιχεία των χρηστών
του Sony Playstation Network θα μπορούσαν να είναι άλλη μια φορά σε
κίνδυνο λόγω ενός bug που επιτρέπει blind SQL injection στην ιστοσελίδα της, όπως ισχυρίζεται ένας penetration tester.Ο 20χρονος Aria Akhavan από την Αυστρία, αναφέρει ότι ανακάλυψε μια ευπάθεια που θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει πληροφορίες από τη βάση δεδομένων της ιστοσελίδας, χρησιμοποιώντας SQL queries.....
Η ευπάθεια είναι δύσκολο να αξιοποιηθεί, αλλά δεν είναι ακατόρθωτο.
Ένα blind SQL injection είναι πιο δύσκολο να αποδώσει καρπούς αν το συγκρίνουμε με ένα κανονικό SQL injection, επειδή τα δεδομένα δεν εμφανίζονται στην ιστοσελίδα άμεσα. Η σελίδα επιστρέφει ένα γενικό μήνυμα λάθους και ο εισβολέας θα πρέπει να αρχίσει να δίνει ερωτήσεις αληθείς ή ψευδείς με SQL queries, προκειμένου να ανακτήσει τις πληροφορίες της βάσης δεδομένων.
Παρά το γεγονός ότι αυτό το είδος της επίθεσης απαιτεί περισσότερο χρόνο για να πραγματοποιηθεί, μπορεί να επιταχυνθεί με τη χρήση αυτοματοποιημένων εργαλείων, όταν ο στόχος και η ευπάθεια έχουν επισημανθεί.
Ο ερευνητής ασφάλειας, δήλωσε σε συνέντευξή του στο....
Διαβάστε περισσότερα στο: www.iguru.gr