HackersBlog опубликовал в субботу информацию о наличии SQL injection на сайте Лаборатории Касперского, позволяющей получить доступ к списку пользователей, кодам активации и прочей критичной информации путем простой модификации адреса запрашиваемой веб-страницы. В качестве подтверждения опубликован список имен таблиц (более 150 штук), доступ к которым был получен таким образом, и несколько скриншотов, на которых можно увидеть имя пользователя, хэш пароля и т.п.
Пока не вполне понятно, действительно ли был получен доступ ко всей критичной информации, или дело ограничилось только списком таблиц, официальной реакции еще не было. Открытым остается и вопрос, не повлияет ли все это на конечных пользователей, называется как минимум два гипотетических сценария усугубления проблемы: целенаправленные атаки на "засвеченных" пользователей, а также модификация страниц обновления с линковкой затрояненных версий продуктов. Ситуация не самая приятная, впрочем, согласно архивам Zone-h, с 2000 года уже было 36 взломов различных...»»обсудить | все отзывы | запомнить | забобрить
Posted on Mon, 09 Feb 2009 06:22:00 +0300 at
http://bugtraq.ru/rsn/archive/2009/02/02.html