入侵过三个安全厂商网站的罗马尼亚黑客上周宣布了两个新的受害者,即赛门铁克和纽约时报。
这个叫“unu”的黑客最近发布了一篇博客,介绍了在赛门铁克网站上发现的SQL注入漏洞,该站点是赛门铁克资源中心提供给经销商的文件下载中心。该漏洞允许“访问他们的数据库”,unu称,尽管他并没有提到具体的数据库名称以及其中的数据。
具有讽刺意义的是,unu发现的这个漏洞存在于一个登录页面,该页面是用来推广诺顿系列安全产品。
在对unu站点的一个回应中,赛门铁克承认这个页面存在“不一致的例外处理”,但它反击unu的断言称该漏洞与数据库访问无关。
“经过彻底的调查,我们确定这个盲注点其实是无效的”,赛门铁克称。“对于语言选项的有效查询和注入查询之间有存在不同的反应,这是由于对例外处理不一致造成的。再次感谢提醒了我们这个问题。我们将很快修改该页面,使用更好的例外处理。”
在另外一篇博客中,unu又声称在《国际先驱论坛报》的网站中发现了一个SQL注入漏洞,《国际先驱论坛报》是《纽约时报》的国际版。
“我发现了一个不安全的参数,允许访问数据库,”unu称。“除了可以看到数据库中的海量信息外,我们还发现了一个有趣的表,包含有161个附属机构、编辑、记者以及该著名报纸其他伙伴的登录信息。”
《国际先驱论坛报》声称该漏洞已经被修补,但也承认一些登录信息已经泄露。
unu声称将对其他报纸站点进行“深入研究”。
著名动物群的某信息安全专家认为,unu的发现再次证明注入漏洞是目前互联网站点的最大威胁,注入漏洞本身并不难以防治,但对于诸如赛门铁克网站这种有庞大代码量的站点而言,要在所有的页面都避免出现错误的确是一个挑战,重点在于需要编程人员具有良好的编码习惯以及严格的漏洞测试机制。另外,专家称,国际先驱论坛报出现的问题显然是由于数据库中的敏感信息没有进行加密导致,对数据库内容加密也是降低注入攻击损失的通行手段。
(威盾新闻中心提供) |
