Εντοπισμός αδυναμίας στο Ανοικτό Πανεπιστήμιο οδηγεί σε άντληση πληροφοριών.

[sculper]

Άγνωστος hacker με το ψευδώνυμο «ginzo» εντόπισε αδυναμία SQL Injection στην κεντρική ιστοσελίδα του Ανοικτού Πανεπιστημίου. Σύμφωνα με πληροφορία που έλαβε η συντακτική ομάδα του SecNews από άγνωστο, ο «ginzo» με χρήση της αδυναμίας που εντόπισε, άντλησε σημαντικά δεδομένα του Πανεπιστημίου, τα οποία πλέον βρίσκονται στην κατοχή του. Μάλιστα στο μήνυμα τονίζεται ότι «είναι μερικά δείγματα από τα δεδομένα που έχει στην κατοχή του, που τόσο καιρό όμως κρατούσε στην αφάνεια, αλλά ήρθε ο καιρός να φανούν επιτέλους μερικά πράγματα.». Η αδυναμία που εντοπίστηκε από τον «ginzo» <…>

 

 

 

του επέτρεψε να αντλήσει την πλήρη δομή της βάσης δεδομένων της ιστοσελίδας, καθώς και πλήρη δεδομένα. Τμήμα της δομής της βάσης μπορείτε να δείτε παρακάτω, ενώ πλήρη στοιχεία της δομής μπορείτε να δείτε εδώ, όπως ακριβώς μας κοινοποιήθηκαν από τον άγνωστο:

 

 

πηγή: Link

[viper2005]

ας ποσταρει το νουμερο του αποθεματικου

[πολλα εκ. ευρω]

[Pantelwolf]

Όταν ακούω για non-sanitized input σε μια σελίδα το 2011 δεν ξέρω αν πρέπει να κλάψω η να γελάσω.

[viper2005]

Όταν ακούω για non-sanitized input σε μια σελίδα το 2011 δεν ξέρω αν πρέπει να κλάψω η να γελάσω.

 

δεν ξερω καν τι ειναι αυτο

[thanocaster]

Είναι ο "καθαρισμός" από περίεργους χαρακτήρες (όπως εισαγωγικά, παύλες κλπ) από τις τιμές που μπορεί να δεχτεί μια μεταβλητή πριν κατασκευαστεί η φράση που θα αντλήσει τα δεδομένα από τη βάση. Σκέψου, δηλαδή, μια φόρμα σύνδεσης: όταν στο όνομα βάζεις εισαγωγικά, πρέπει είτε να σβήνονται αυτόματα τα εισαγωγικά, είτε να μην σου επιτρέπει η φόρμα να βάλεις username/password με εισαγωγικά.

[ClouD]