NASA Hacked again (via SQL Injection)

В очередной раз на Web-сервере в домене nasa.gov (aerocenter.gsfc.nasa.gov) хакером, скрывающемся под псевдонимом TinKode, была обнаружена классическая уязвимость, SQL-инъекция [1] (видимо собсем плохо обстоит дело с веб-безопасностью у Национального управления США по аэронавтике и исследованию космического пространства). Скриншот с уязвимым сценарием, который приводит исследователь:



То есть, классическая SQL-инъекция под 5-м мускулем. Кроме того, наиболее простая к компрометации базы, т.к. за один http-запрос можно получить все необходимые данные:




В приводимых примерах TinKode можно заметить, что в СУБД, в том числе, хранятся и ПДн (астронавтов или простых смертных?):
...
[3] user
[4] actualname
[5] firstname
[6] lastname
[7] username
[8] userpassword
...
[11] email
[12] phone
...
[25] cal_lastname
[26] cal_firstname
[27] cal_middlename
[28] cal_email
...
[34] country
...
[113] cal_login
[114] cal_passwd
...

Замечено хранение паролей администраторов не в виде plain-текста, а в формате MD5 (хоть, где-то процесс ИБ работает...):



Правда, со слов TinKode, "...and they can be easily cracked." ;))
Автор: от

2 комментария :

  1. beched ( Аудит безопасности )22 февраля 2010 г. в 15:08

    Хех, да там на каждом шагу скули.

    ОтветитьУдалить
  2. Dmitry Evteev22 февраля 2010 г. в 17:01

    Интересна конкретизация, а не абстракция :) А еще больше интересен нанесенный ущерб от использования и время реакции.

    ОтветитьУдалить