Массированная атака: 500 тыс. iis-серверов подверглись sql-инъекции

Вторник, 29 апреля 2008 г.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e

Новая атака, осуществляемая при помощи SQL-инъекций, направлена на 500 тыс. веб-серверов Microsoft IIS, среди которых веб-ресурсы Организации Объединенных Наций, правительства Великобритании и Департамента Национальной Безопасности США. Хотя Microsoft не виновна в атаке, она уникальна для IIS серверов.

Автоматизированная атака используется для того, чтобы IIS-серверы Microsoft позволяли генерировать команды. Однако, уязвимость является результатом плохой обработки данных на конкретных сайтах, а не ошибки Microsoft.

Иными словами, нет патча, что устранить возникшие проблемы. Проблема возникла по вине разработчиков сайтов, которые не достаточно хорошо обеспечивают безопасность обработки входных данных.

Сама же атака основана на инъекции вредоносных JavaScript-кодов в текстовых полях базы данных. После внедрения Javascript загружает внешний сценарий, который может скомпрометировать пользовательский ПК.

Большинство крупных организаций, пострадавших от массированной атаки, решили проблему сами и утверждают, что проблема возникла из-за их кода, который был исправлен. Если пользователь желает избежать данной проблемы, есть простой - использовать Firefox с NoScript, пишется на blog.wired.com.

До сих пор не было никаких данных о том, кто стоит за атаками.

Следите за нами в ВКонтакте, Facebook'e и Twitter'e


Просмотров: 1178
Рубрика: Hi-Tech
(CY)

Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003