Wpisy z tagiem "SQLi"

Dane ponad 100 000 posiadaczy karty miejskiej ZTM Gdańsk mogły wyciec

Dane ponad 100 000 posiadaczy karty miejskiej ZTM Gdańsk mogły wyciec

Imię, nazwisko, adres zamieszkania, adres e-mail i PESEL ponad stu tysięcy osób, które wnioskowały od roku 2009 przez internet o kartę miejską ZTM w Gdańsku mogły zostać wykradzione przez włamywacza z podstawową wiedzą o atakach typu SQL injection.… Czytaj dalej

Wtyczki dla sklepów obsługujących Przelewy24 z krytycznymi błędami bezpieczeństwa

Wtyczki dla sklepów obsługujących Przelewy24 z krytycznymi błędami bezpieczeństwa

Co może być gorszego od dziurawej wtyczki? Gorsze zapewne będzie wiele dziurawych wtyczek jednego dostawcy, zainstalowanych w wielu miejscach i jednocześnie odpowiadających za obsługę transakcji finansowych.… Czytaj dalej

Jak przez SQLi włamać się do serwerów 8 banków na całym świecie

Jak przez SQLi włamać się do serwerów 8 banków na całym świecie

Jakimi umiejętnościami trzeba dysponować by włamywać się do serwerów bankowych? W ostatnich dniach pojawia się coraz więcej dowodów wskazujących, że w zupełności wystarczy obsługa prostego skanera błędów SQLi.… Czytaj dalej

Połączeniami telefonicznymi do SQLi, czyli jak hakują prawdziwi mistrzowie

Połączeniami telefonicznymi do SQLi, czyli jak hakują prawdziwi mistrzowie

Nasz Czytelnik podesłał nam opis własnoręcznie odkrytego błędu umożliwiającego zdalne wykonanie kodu w popularnym systemie bilingowym. Sposób przeprowadzenia ataku zrobił na nas ogromne wrażenie.… Czytaj dalej

Kilkadziesiąt poważnych i wiele innych błędów w serwerach w domenie GOV.PL

Kilkadziesiąt poważnych i wiele innych błędów w serwerach w domenie GOV.PL

Nie odkryje Ameryki ten, kto stwierdzi, że na serwerach WWW w domenie rządowej ciągle można znaleźć setki mniejszych i większych błędów. Co innego jednak spekulować, a co innego błędy te znaleźć i opublikować w internecie.… Czytaj dalej

0day – SQLi na MyBB

W sieci pojawiła się informacja o błędzie typu SQLi w jednej z popularnych platform do prowadzenia forum MyBB. Błąd obecny jest w najnowszej wersji. Odkrywca błędu jest nasz rodak, ukrywający się pod pseudonimem Smash_. Oprócz SQLi znalazł także błędy typu XSS.… Czytaj dalej

SQLi w Drupalu czyli Drupageddon

Czy to już koniec czarnej serii błędów w popularnych rozwiązaniach IT? W dojrzałych platformach rzadko trafiają się już tak krytyczne błędy jak SQLi. Tym razem jednak błąd drzemał w trzewiach Drupala od roku 2011 i został odkryty przy okazji audytu kodu źródłowego platformy wykonywanego przez Stefana Essera (znanego głównie z jailbreaków iOSa).… Czytaj dalej

Wstrzykiwanie JavaScriptu na formularzach wyborczych

Wstrzykiwanie JavaScriptu na formularzach wyborczych

Wraz z rozwojem technologii powstaje coraz więcej punktów styku, w których dane ze świata rzeczywistego trafiają bezpośrednio do systemów IT. Wiążą się z tym zagrożenia, na które jeszcze niedawno nie zwracano uwagi – jak na przykład opisane poniżej.… Czytaj dalej

:) SQLi w prawdziwym życiu

A przynajmniej artystyczna wizja takowego

sqli

Nadesłało dwóch Tomków – dziekujemy!

 … Czytaj dalej

Jak zhakowano producenta szpiegowskiego oprogramowania

Domniemany autor włamania do firmy Gamma International, producenta szpiegowskiego oprogramowania FinFisher/FinSpy, używanego przez rządy wielu krajów, opowiada, w jaki sposób dostał się do serwera firmy. W skrócie:

  1. Truecrypt+Whonix+Tor
  2. Zlokalizuj wszystkie serwery HTTP/subdomeny ofiary
  3. Przeskanuj pod kątem folderów, aplikacji, wersji oprogramowania
  4. Zidentyfikuj potencjalnie podatne elementy
  5. Zdobądź kod źródłowy np.
Czytaj dalej

SQLi w Kloxo

Jeśli korzystacie z Kloxo/Lxadmin do zarządzania swoimi VPSami, to lepiej szybko go wyłączcie – przynajmniej do czasu opublikowania łaty. Od wczoraj instalacje Kloxo są masowo przejmowane i wykorzystywane do ataków DDoS.

Logi wskazują na SQLi, za pomocą którego atakujący przejmują kontrolę nad serwerem.… Czytaj dalej

0day na najnowszy WHMCS

Serwis localhost.re, specjalizujący się w analizie bezpieczeństwa programów służących do zarządzania serwerami, opublikował błąd typu SQLi w najnowszej wersji panelu WHMCS (5.2.7). Błąd trywialny – jeśli polecenie SQL zaczyna się od „AES_ENCRYPT”, to nie jest ono przepuszczane przez żaden filtr, tylko trafia prosto do bazy.… Czytaj dalej

Trzeci wyciek z portalu LGBT – 80 tysięcy kont z kobiety-kobietom.com

Trzeci wyciek z portalu LGBT – 80 tysięcy kont z kobiety-kobietom.com

Ten tydzień obfituje w wycieki baz danych serwisów przeznaczonych dla osób homoseksualnych. Po gay.pl oraz innastrona.pl przyszedł czas na serwis dla lesbijek, działający pod nazwą kobiety-kobietom.com. Co ciekawe, wyciekły dwie różne bazy.… Czytaj dalej

Wpadka Tygodnia – odcinek 26

Wpadka Tygodnia – odcinek 26

W tym odcinku Wpadki Tygodnia poznacie historię serwisu umożliwiającego podszywanie się pod nadawcę SMSa, który okazał się wcale nie być tak popularny ani bezpieczny jak twierdził jego założyciel oraz dowiecie się, jak zgubić dane 2,4 mln wyborców. Zapraszamy do lektury.… Czytaj dalej

450 tysięcy haseł otwartym tekstem wyciekło z Yahoo

450 tysięcy haseł otwartym tekstem wyciekło z Yahoo

Nawet najwięksi gracze na rynku zaliczają ostatnio spektakularne wpadki. W sieci właśnie pojawiło się 453,492 kont email z hasłami. Prawdopodobnie pochodzą one z usługi Yahoo Voice. Co najważniejsze, hasła zapisane są otwartym tekstem!… Czytaj dalej

Szpiegowanie szpiega, czyli błędy w MobileSpy

Szpiegowanie szpiega, czyli błędy w MobileSpy

Na rynku pojawia się sporo aplikacji, służących do szpiegowania użytkowników telefonów komórkowych. Przechwytują smsy i bilingi, podają lokalizację, szpiegują, ile wlezie. Czasem jednak dzięki błędom w aplikacji szpiegowany też może się odegrać.… Czytaj dalej

Łatajcie vBSEO

Łatajcie vBSEO

Niedawne doniesienia o włamaniach na duże fora i kradzieży danych setek tysięcy użytkowników (jak chociażby włamanie do peb.pl), zostały dziś uzupełnione wiadomością o prawdopodobnej metodzie włamania. Tak jak podejrzewaliśmy, w sieci od jakiegoś czasu krążył 0day na vBSEO, popularny moduł do vBulletin stosowany przez administratorów dużych serwisów.… Czytaj dalej

Wyciek bazy www.slowka.pl – ponad 250k kont

Wyciek bazy www.slowka.pl – ponad 250k kont

Jak donosi jeden z naszych czytelników, w sieci zaczęła krążyć baza użytkowników serwisu www.slowka.pl. Może być to jeden z największych wycieków danych w Polsce w ostatnich czasach – podobno baza ma ponad ćwierć miliona rekordów.… Czytaj dalej

Poważna dziura w Plesku

Poważna dziura w Plesku

Błąd w popularnym interfejsie do zarządzania serwisem www i związanym z nim serwerem prawdopodobnie stanowił drogę włamania do witryny Federalnej Komisji Handlu. Błąd polegał na SQL injection w interfejsie API. Błąd znany był od września i wg twórców aplikacji od września dostępne były poprawki.… Czytaj dalej

Po włamaniu do Juggnetwork.com wyciekła lista użytkowników Brazzers.com

Po włamaniu do Juggnetwork.com wyciekła lista użytkowników Brazzers.com

Dawno nie widzieliśmy żadnego porządnego włamania do serwisu pornograficznego. Zrzuty danych ich użytkowników z reguły są zabawną lekturą. Tym razem jednak dużo nie poczytamy – haker podał tylko 170 kont…… Czytaj dalej