廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1786 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
Kaspersky美國網站曝漏洞 機密資訊恐外泄
Kaspersky美國網站曝漏洞 機密資訊恐外泄

據一位駭客在部落格中透露,卡巴斯基的一個安全過失暴露了大量的有關卡巴斯基產品和客戶的專有資訊。
這個部落格發表了卡巴斯基網站的抓圖和其他細節以支援他的說法。

這個駭客在星期六(2月7日)發表的部落格中表示,一個簡單的SQL injection攻擊就能夠存取卡巴斯基的包含用戶、
啟用碼、安全漏洞列表、管理員和購買等資訊的資料庫。這個駭客表示,對一個URL位址進行簡單地修改就能夠存
取這個網站的整個資料庫。抓圖顯示這個攻擊主要集中在卡巴斯基美國公司的技術支援和知識庫,包含了超過150個Table的名稱。

安全廠商Matasano的研究員Thomas Ptacek在這個事件發生幾小時後的採訪中說,"我認為這看起來像是真實的。"他指出,
抓圖中的URL欄顯示的usa.kaspersky.com和右邊的文字

"concat_ws(0x3a,ver"

是用於修改這個網頁背後的資料庫請求,其中之一能騙過資料庫並存取任意的資料。
防毒軟體公司AVG的首席研究官Roger Thompson也同意這個觀點。他說,我為卡巴斯基感到遺憾。"我不能說100%肯定,
但這看起來是真實的。

卡巴斯基發言人尚未對此發表回應。

倘若這個入侵事件屬實,將不是卡巴斯基網站首次遭到SQL injection攻擊。去年七月時,該公司馬來西亞網站就曾遭到土
耳其駭客入侵,而根據Zone-h的紀錄,自2000年起,已經有36個卡巴斯基網站遭到入侵。

但相較之下,這次的事件顯得更為嚴重,安全專家指出,因為客戶的資料有可能外洩,同時也將使得卡巴
斯基網站遭到其他型態的惡意利用。

IBM ISS的安全策略長Gunter Ollmann在部落格表示,"由於該公司擁有大量的使用者,我希望卡巴斯基的管理

員能儘速修正這項漏洞。這個嚴重的漏洞可以被用來非法更新該公司的產品,甚至在網頁上更換惡意版本的軟體。

新聞來源:
資安之眼



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2009-02-09 15:25 |
liujenha 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
風雲人物
級別: 風雲人物 該用戶目前不上站
推文 x0 鮮花 x4768
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

這是真的嗎


獻花 x0 回到頂端 [1 樓] From:臺灣新世紀 | Posted:2009-02-09 17:58 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054316 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言