Wpisy z tagiem "SQLi"
Imię, nazwisko, adres zamieszkania, adres e-mail i PESEL ponad stu tysięcy osób, które wnioskowały od roku 2009 przez internet o kartę miejską ZTM w Gdańsku mogły zostać wykradzione przez włamywacza z podstawową wiedzą o atakach typu SQL injection.… Czytaj dalej
Co może być gorszego od dziurawej wtyczki? Gorsze zapewne będzie wiele dziurawych wtyczek jednego dostawcy, zainstalowanych w wielu miejscach i jednocześnie odpowiadających za obsługę transakcji finansowych.… Czytaj dalej
Jakimi umiejętnościami trzeba dysponować by włamywać się do serwerów bankowych? W ostatnich dniach pojawia się coraz więcej dowodów wskazujących, że w zupełności wystarczy obsługa prostego skanera błędów SQLi.… Czytaj dalej
Nasz Czytelnik podesłał nam opis własnoręcznie odkrytego błędu umożliwiającego zdalne wykonanie kodu w popularnym systemie bilingowym. Sposób przeprowadzenia ataku zrobił na nas ogromne wrażenie.… Czytaj dalej
Nie odkryje Ameryki ten, kto stwierdzi, że na serwerach WWW w domenie rządowej ciągle można znaleźć setki mniejszych i większych błędów. Co innego jednak spekulować, a co innego błędy te znaleźć i opublikować w internecie.… Czytaj dalej
W sieci pojawiła się informacja o błędzie typu SQLi w jednej z popularnych platform do prowadzenia forum MyBB. Błąd obecny jest w najnowszej wersji. Odkrywca błędu jest nasz rodak, ukrywający się pod pseudonimem Smash_. Oprócz SQLi znalazł także błędy typu XSS.… Czytaj dalej
Czy to już koniec czarnej serii błędów w popularnych rozwiązaniach IT? W dojrzałych platformach rzadko trafiają się już tak krytyczne błędy jak SQLi. Tym razem jednak błąd drzemał w trzewiach Drupala od roku 2011 i został odkryty przy okazji audytu kodu źródłowego platformy wykonywanego przez Stefana Essera (znanego głównie z jailbreaków iOSa).… Czytaj dalej
Wraz z rozwojem technologii powstaje coraz więcej punktów styku, w których dane ze świata rzeczywistego trafiają bezpośrednio do systemów IT. Wiążą się z tym zagrożenia, na które jeszcze niedawno nie zwracano uwagi – jak na przykład opisane poniżej.… Czytaj dalej
A przynajmniej artystyczna wizja takowego

Nadesłało dwóch Tomków – dziekujemy!
… Czytaj dalej
Domniemany autor włamania do firmy Gamma International, producenta szpiegowskiego oprogramowania FinFisher/FinSpy, używanego przez rządy wielu krajów, opowiada, w jaki sposób dostał się do serwera firmy. W skrócie:
- Truecrypt+Whonix+Tor
- Zlokalizuj wszystkie serwery HTTP/subdomeny ofiary
- Przeskanuj pod kątem folderów, aplikacji, wersji oprogramowania
- Zidentyfikuj potencjalnie podatne elementy
- Zdobądź kod źródłowy np.
…
Czytaj dalej
Jeśli korzystacie z Kloxo/Lxadmin do zarządzania swoimi VPSami, to lepiej szybko go wyłączcie – przynajmniej do czasu opublikowania łaty. Od wczoraj instalacje Kloxo są masowo przejmowane i wykorzystywane do ataków DDoS.
Logi wskazują na SQLi, za pomocą którego atakujący przejmują kontrolę nad serwerem.… Czytaj dalej
Serwis localhost.re, specjalizujący się w analizie bezpieczeństwa programów służących do zarządzania serwerami, opublikował błąd typu SQLi w najnowszej wersji panelu WHMCS (5.2.7). Błąd trywialny – jeśli polecenie SQL zaczyna się od „AES_ENCRYPT”, to nie jest ono przepuszczane przez żaden filtr, tylko trafia prosto do bazy.… Czytaj dalej
Ten tydzień obfituje w wycieki baz danych serwisów przeznaczonych dla osób homoseksualnych. Po gay.pl oraz innastrona.pl przyszedł czas na serwis dla lesbijek, działający pod nazwą kobiety-kobietom.com. Co ciekawe, wyciekły dwie różne bazy.… Czytaj dalej
W tym odcinku Wpadki Tygodnia poznacie historię serwisu umożliwiającego podszywanie się pod nadawcę SMSa, który okazał się wcale nie być tak popularny ani bezpieczny jak twierdził jego założyciel oraz dowiecie się, jak zgubić dane 2,4 mln wyborców. Zapraszamy do lektury.… Czytaj dalej
Nawet najwięksi gracze na rynku zaliczają ostatnio spektakularne wpadki. W sieci właśnie pojawiło się 453,492 kont email z hasłami. Prawdopodobnie pochodzą one z usługi Yahoo Voice. Co najważniejsze, hasła zapisane są otwartym tekstem!… Czytaj dalej
Na rynku pojawia się sporo aplikacji, służących do szpiegowania użytkowników telefonów komórkowych. Przechwytują smsy i bilingi, podają lokalizację, szpiegują, ile wlezie. Czasem jednak dzięki błędom w aplikacji szpiegowany też może się odegrać.… Czytaj dalej
Niedawne doniesienia o włamaniach na duże fora i kradzieży danych setek tysięcy użytkowników (jak chociażby włamanie do peb.pl), zostały dziś uzupełnione wiadomością o prawdopodobnej metodzie włamania. Tak jak podejrzewaliśmy, w sieci od jakiegoś czasu krążył 0day na vBSEO, popularny moduł do vBulletin stosowany przez administratorów dużych serwisów.… Czytaj dalej
Jak donosi jeden z naszych czytelników, w sieci zaczęła krążyć baza użytkowników serwisu www.slowka.pl. Może być to jeden z największych wycieków danych w Polsce w ostatnich czasach – podobno baza ma ponad ćwierć miliona rekordów.… Czytaj dalej
Błąd w popularnym interfejsie do zarządzania serwisem www i związanym z nim serwerem prawdopodobnie stanowił drogę włamania do witryny Federalnej Komisji Handlu. Błąd polegał na SQL injection w interfejsie API. Błąd znany był od września i wg twórców aplikacji od września dostępne były poprawki.… Czytaj dalej
Dawno nie widzieliśmy żadnego porządnego włamania do serwisu pornograficznego. Zrzuty danych ich użytkowników z reguły są zabawną lekturą. Tym razem jednak dużo nie poczytamy – haker podał tylko 170 kont…… Czytaj dalej