name='more'>
Проблема аналогичная предыдущему инциденту внедрение операторов SQL слепым методом (blind SQL Injection). Но на этот раз, хакер изменил свое видение относительно допустимых действий и не стал дампить конфиденциальные данные из базы данных, к которой у него имелся доступ через использование SQL-инъекции (или просто не опубликовал в паблик?). Стоит отметить, что у TinKode имелась возможность использования быстрой техники эксплуатации уязвимости с этой целью, а учитывая возможную важность хранимой информации на взломанном им сервере, последствия атаки могли бы быть гораздо плачевнее...
Колонки таблицы "POC" в базе "fsweb":
[1] UserName
... [5] FirstName
[6] MiddleName
[7] LastName
... [9] Email
[... [13] City
[14] State
[15] Zip
[16] DisplayZip
[16] Address1
[17] Address2
[18] Phone
... [21] Password
US Army full disclosure again MSSQL injection
US Army full disclosure again MSSQL injection
В очередной раз по Web-серверу в домене армии США успешно был нанесен удар со стороны исследователя, скрывающегося под псевдонимом TinKode . На сей раз, скомпрометирован сервер www.first.army.mil :
name='more'>
Проблема аналогичная предыдущему инциденту внедрение операторов SQL слепым методом (blind SQL Injection). Но на этот раз, хакер изменил свое видение относительно допустимых действий и не стал дампить конфиденциальные данные из базы данных, к которой у него имелся доступ через использование SQL-инъекции (или просто не опубликовал в паблик?). Стоит отметить, что у TinKode имелась возможность использования быстрой техники эксплуатации уязвимости с этой целью, а учитывая возможную важность хранимой информации на взломанном им сервере, последствия атаки могли бы быть гораздо плачевнее...
Колонки таблицы "POC" в базе "fsweb":
[1] UserName
... [5] FirstName
[6] MiddleName
[7] LastName
... [9] Email
[... [13] City
[14] State
[15] Zip
[16] DisplayZip
[16] Address1
[17] Address2
[18] Phone
... [21] Password
server-side attacks
инциденты
взлом
SQL-Injection
hackers
name='more'>
Проблема аналогичная предыдущему инциденту внедрение операторов SQL слепым методом (blind SQL Injection). Но на этот раз, хакер изменил свое видение относительно допустимых действий и не стал дампить конфиденциальные данные из базы данных, к которой у него имелся доступ через использование SQL-инъекции (или просто не опубликовал в паблик?). Стоит отметить, что у TinKode имелась возможность использования быстрой техники эксплуатации уязвимости с этой целью, а учитывая возможную важность хранимой информации на взломанном им сервере, последствия атаки могли бы быть гораздо плачевнее...
Колонки таблицы "POC" в базе "fsweb":
[1] UserName
... [5] FirstName
[6] MiddleName
[7] LastName
... [9] Email
[... [13] City
[14] State
[15] Zip
[16] DisplayZip
[16] Address1
[17] Address2
[18] Phone
... [21] Password
