» 遊客:  加入 | 登入 (帳號有問題請連絡TWed2k@gmail.com)


 


 TWed2k » 轉貼文字區 » [轉貼]Kaspersky美國網站曝漏洞 機密資訊恐外泄 RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 

 
主題: [新聞] [轉貼]Kaspersky美國網站曝漏洞 機密資訊恐外泄   字型大小:||| 
poliu
銀驢友〔中級〕
等級: 13等級: 13等級: 13等級: 13


 . 積分: 560
 . 文章: 1627
 . 收花: 4403 支
 . 送花: 5477 支
 . 比例: 1.24
 . 在線: 3912 小時
 . 瀏覽: 38651 頁
 . 註冊: 8205
 . 失蹤: 417
 . Taiwan-Tainan
#1 : 2009-2-9 06:11 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (8) 引言回覆
據一位駭客在部落格中透露,卡巴斯基的一個安全過失暴露了大量的有關卡巴斯基產品和客戶的專有資訊。這個部落格發表了卡巴斯基網站的抓圖和其他細節以支援他的說法。

這個駭客在星期六(2月7日)發表的部落格中表示,一個簡單的SQL injection攻擊就能夠存取卡巴斯基的包含用戶、啟用碼、安全漏洞列表、管理員和購買等資訊的資料庫。這個駭客表示,對一個URL位址進行簡單地修改就能夠存取這個網站的整個資料庫。抓圖顯示這個攻擊主要集中在卡巴斯基美國公司的技術支援和知識庫,包含了超過150個Table的名稱。

安全廠商Matasano的研究員Thomas Ptacek在這個事件發生幾小時後的採訪中說,"我認為這看起來像是真實的。"他指出,抓圖中的URL欄顯示的usa.kaspersky.com和右邊的文字"concat_ws(0x3a,ver"是用於修改這個網頁背後的資料庫請求,其中之一能騙過資料庫並存取任意的資料。

防毒軟體公司AVG的首席研究官Roger Thompson也同意這個觀點。他說,我為卡巴斯基感到遺憾。"我不能說100%肯定,但這看起來是真實的。"

卡巴斯基發言人尚未對此發表回應。



倘若這個入侵事件屬實,將不是卡巴斯基網站首次遭到SQL injection攻擊。去年七月時,該公司馬來西亞網站就曾遭到土耳其駭客入侵,而根據Zone-h的紀錄,自2000年起,已經有36個卡巴斯基網站遭到入侵。

但相較之下,這次的事件顯得更為嚴重,安全專家指出,因為客戶的資料有可能外洩,同時也將使得卡巴斯基網站遭到其他型態的惡意利用。

IBM ISS的安全策略長Gunter Ollmann在部落格表示,"由於該公司擁有大量的使用者,我希望卡巴斯基的管理員能儘速修正這項漏洞。這個嚴重的漏洞可以被用來非法更新該公司的產品,甚至在網頁上更換惡意版本的軟體。"
新聞來源: 資安之眼

相關關鍵字: Kaspersky  卡巴斯基  SQL injection  入侵  






[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
dayi
開墾隊隊員
等級: 14等級: 14等級: 14等級: 14
ZeroX

十週年紀念徽章(五級)  

今日心情

 . 積分: 935
 . 文章: 2060
 . 收花: 7802 支
 . 送花: 2401 支
 . 比例: 0.31
 . 在線: 2821 小時
 . 瀏覽: 61582 頁
 . 註冊: 7126
 . 失蹤: 1225
 . ZeroX
#2 : 2009-2-9 07:40 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
如果是真的的話
SQL injection這種已經可以算是"落伍"的攻擊方式
竟然在這知名防毒軟體的網站上出現
對它的防毒軟體的信心馬上大降


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
陽だまり
白銀驢友
等級: 15等級: 15等級: 15等級: 15等級: 15
ささらの可愛さは異常

 . 積分: 1330
 . 精華: 1
 . 文章: 3159
 . 收花: 10387 支
 . 送花: 26639 支
 . 比例: 2.56
 . 在線: 4508 小時
 . 瀏覽: 30308 頁
 . 註冊: 7433
 . 失蹤: 1441
 . 星の彼方
#3 : 2009-2-9 07:47 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
其實應該不用失望
畢竟網站不是用卡巴斯基架的 XD


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  新增/修改 爬文標記
dayi
開墾隊隊員
等級: 14等級: 14等級: 14等級: 14
ZeroX

十週年紀念徽章(五級)  

今日心情

 . 積分: 935
 . 文章: 2060
 . 收花: 7802 支
 . 送花: 2401 支
 . 比例: 0.31
 . 在線: 2821 小時
 . 瀏覽: 61582 頁
 . 註冊: 7126
 . 失蹤: 1225
 . ZeroX
#4 : 2009-2-9 07:56 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆

引用:
陽だまり寫到:
其實應該不用失望
畢竟網站不是用卡巴斯基架的 XD


這樣說也對啦
但是被這麼舊的技術攻破...(如果是真的的話)
基本上只要寫個filter在query string的地方就行了


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
ags
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
雞精

今日心情

 . 積分: 3077
 . 精華: 3
 . 文章: 7931
 . 收花: 26626 支
 . 送花: 19823 支
 . 比例: 0.74
 . 在線: 4544 小時
 . 瀏覽: 61144 頁
 . 註冊: 7391
 . 失蹤: 2
 . 動物星球
#5 : 2009-2-10 03:02 PM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (3) 引言回覆
盜版的應該是不用擔心個資外泄吧


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  新增/修改 爬文標記
innova
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


十週年紀念徽章(五級)  

今日心情

 . 積分: 916
 . 文章: 2714
 . 收花: 7188 支
 . 送花: 1461 支
 . 比例: 0.2
 . 在線: 2182 小時
 . 瀏覽: 15202 頁
 . 註冊: 7170
 . 失蹤: 23
 . 火星
#6 : 2009-2-11 11:51 AM     只看本作者 送鮮花給本文章,以表示喜愛之意,點花數可看送花者名單送花 (0) 引言回覆
所以縮.....

卡巴死雞... 還是繼續用盜版~ 個人資料才不會被幹走!!?


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  新增/修改 爬文標記

   



 



所在時區為 GMT+8, 現在時間是 2024-11-19 12:50 AM		 清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.023551 second(s), 6 queries , Qzip disabled