Todos os posts tagados sql injection

Discussões em fóruns de ‘hackers’ cresceram mais de 150%

por David Sopas em 22 de Outubro de 2011 em Curtas, Notícias com 0 comentários Tweet

No ComputerWorld:

“Juntamente com o autohacking, acreditamos que o incremento da actividade dos hackers nos fóruns ajuda a explicar como há mais hackers a procurarem causar mais vulnerabilidades”, consideram os responsáveis da empresa.

Os ataques de negação de serviço (DDoS) e injecção de SQL nas páginas de sites são os dois ataques mais discutidos em fóruns online de hackers, de acordo com um estudo da empresa de segurança, Imperva. Segundo dados do fabricante, nos últimos quatro anos, o número de conversas nos fóruns aumentou 150%.

(…)

Como prevenir ataques SQL Injection

por David Sopas em 18 de Outubro de 2011 em Artigos, Curtas com 0 comentários Tweet

… é o nome do artigo no Developer Drive que mostra 9 dicas de como prevenir este tipo de falha.
Recomendo!

‘Sec Indi’ publica falhas SQL Injection presentes no site da CNN

por David Sopas em 19 de Junho de 2011 em Curtas, Notícias com 0 comentários Tweet

A notícia e os detalhes foram publicados no THN.

Será o inicio de vários grupos com objectivo de ganhar fama com estas actividades ilícitas? Por exemplo, os LulzSec já contam com 216.000 seguidores no Twitter… É sem dúvida um dos primeiros grupos a usar eficazmente a web 2.0 como ferramenta.

Sony Portugal comprometida

por David Sopas em 9 de Junho de 2011 em Notícias com 0 comentários Tweet

… e a notícia já voa por toda a comunicação social.
Não demorou muito para que o site oficial em Portugal da Sony fosse comprometido.

O mesmo utilizador malicioso Idahc, oriundo do Líbano, que atacou a Sony Europe na semana passada, publicou a base de dados da Sony Portugal.

Desta vez, colocou apenas uma tabela de endereços de email pertencentes à base de dados da Sony Portugal.
O mesmo utilizador afirma ter encontrado três falhas diferentes no SonyMusic.pt, entre estas:

  • Sql Injection (muito provavelmente o método que utilizou para obtenção de informação)
  • XSS
  • iFrame Injection.

Vamos aguardar por um comunicado da Sony e quais as politicas a tomar depois de mais uma invasão.

Lulz Security desafia FBI e a NATO

por David Sopas em 7 de Junho de 2011 em Artigos, Notícias com 6 Comentários Tweet

O grupo Lulz Security aka LulzSec comunicou hoje à imprensa que, supostamente, os EUA estavam a financiar uma empresa whitehat para atacar virtualmente a Líbia.

Poderá estar assim iniciada uma guerra que promete ser intensa.

Depois da LulzSec ter comprometido uma empresa colaboradora do FBI - Infragard, e ter acedido à base de dados dos utilizadores, os LulzSec repararam que algumas dessas contas utilizavam a mesma password para contas pessoais de email e websites empresariais. (como é possível especialistas em segurança usarem a mesma password? OMG!)

Um desses utilizadores comprometidos foi Karim Hijazi, responsável pela empresa whitehat Unveillance. Empresa esta especialista em controlo de botnets e testes de intrusão.

Após algum tempo a vasculhar nos emails do Karim, os LulzSec contactaram-no e relataram o feito.
Ao que parece, o responsável pela empresa Unveillance, tentou cativá-los financeiramente requisitando aos LulzSec eliminar a concorrência, efectuando ataques constantes às infra-estruturas de várias empresas whitehat.

Mas… o mais interessante ainda estava para vir.
Aparentemente decorreu uma operação da Unveillance, e outras empresas financiadas pelo governo americano, para controlar o ciberespaço da Líbia de uma forma maliciosa.

De facto é preocupante como certa informação confidencial está disponível na web e à mercê de ser explorada por utilizadores maliciosos.

Maioria dos sites comprometidos pelos LulzSec foram explorados via SQL Injection, utilizando ferramentas automáticas e gratuitas (por exemplo: havij e sqlmap).

Será o inicio de muitos grupos do género? Não deveriam as empresas preocuparem-se mais com a segurança e a privacidade dos seus clientes ou utilizadores?

Para concluir este artigo reparei que, tal como outros grupos, os LulzSec comunicam entre eles via Twitter e IRC (local onde utilizam bots C&C). Também reparei, em conversas no Twitter, que os LulzSec demonstram alguma cumplicidade com o grupo Anonymous, muito provavelmente por alguma colaboração entre membros (alguns provenientes do 4chan). Fica a nota.

Realidade ou pura propaganda, o facto é que esta situação já dava um bom argumento para um filme, não acham?
Fica a sugestão Sr. David Fincher.

← Mais antigos
Mais recentes →