ドメイン登録業者「NetNames」がSQLインジェクションを用いてハッキングされる
トルコの攻撃グループが英ドメイン名業者に侵入、顧客サイトをリダイレクト
英国のドメイン名登録業者NetNamesは5日、同社のシステムが不正に書き換えられ、
NetNamesを通じてドメイン名を取得した顧客のウェブサイトが
別のサイトにリダイレクトされていたことを明らかにした。
また、改ざんサイトの情報を収集しているサイト「Zone-H」のレポートを引用し、
攻撃者はSQLインジェクションを使用してNetNamesのシステムに侵入したようだと説明。
米SANS Internet Storm Centerは、この攻撃により「ups.com」「theregister.co.uk」
「acer.com」「telegraph.co.uk」「betfair.com」「vodafone.com」「nationalgeographic.com」など
多数のサイトが影響を受けたと説明。
英Registerでは、英国時間4日夜に自社のサイトがトルコのハッカーグループのサイトに
リダイレクトされたが、3時間ほどで正常に復元され、
自社のサイトが改ざんや侵入を受けたわけではないとしている。
NetNamesでは、「こうした継続的かつ集中的な悪意のある攻撃を完全に防ぐことは
誰にもできない」としながらも、堅牢で保護されたサービスを提供するため
システムの再検討を行うとしている。
http://internet.watch.impress.co.jp/docs/news/20110906_475535.html
|
|
|
2 :名無しさん@涙目です。(大阪府):2011/09/07(水) 12:17:10.43 ID:lyn3R+dS0
unko.com
3 :名無しさん@涙目です。(庭):2011/09/07(水) 12:17:20.90 ID:fGHdBYjZ0
おちんぽみるく
4 :名無しさん@涙目です。(新潟県):2011/09/07(水) 12:17:26.34 ID:jtP92Az50
日本語ドメインとは何だったのか
5 :名無しさん@涙目です。(東京都):2011/09/07(水) 12:21:44.00 ID:siIHa7X10
カッケー
6 :名無しさん@涙目です。(愛知県):2011/09/07(水) 12:22:03.69 ID:INn15CvT0
なるほどSQLインジェクションとはなぁ
SQLインジェクション使われたらどうしようもないわ
SQLインジェクション使われたらどうしようもないわ
7 :名無しさん@涙目です。(dion軍):2011/09/07(水) 12:22:38.07 ID:9UPxEy2Y0
2年ぐらいのコカコーラのハッキングの時から変わってないのか
8 :名無しさん@涙目です。(埼玉県):2011/09/07(水) 12:23:19.25 ID:Ij7yAyaB0
またSQLインジェクションか
9 :名無しさん@涙目です。(関東):2011/09/07(水) 12:24:46.80 ID:pKEvC82bO
Q. ハッカーはどのように侵入してきたのか?
A. 高度な技術を使って侵入してきた
Q. 具体的にどうやったのか?
A. 既知の脆弱性を突かれた
A. 高度な技術を使って侵入してきた
Q. 具体的にどうやったのか?
A. 既知の脆弱性を突かれた
10 :名無しさん@涙目です。(チベット自治区):2011/09/07(水) 12:27:04.14 ID:r4XwKRhp0
NetNamesはSQLインジェクションという初歩的な攻撃への対策すらしていなかった
その結果、自社のサービスを利用している顧客に被害を与えた
反省するどころか「完全に防ぐことは誰にもできない」などと開き直った
クズだな
その結果、自社のサービスを利用している顧客に被害を与えた
反省するどころか「完全に防ぐことは誰にもできない」などと開き直った
クズだな
11 :名無しさん@涙目です。(チベット自治区):2011/09/07(水) 12:30:17.94 ID:tlI8uyba0
SQLインジェクションなんて5年以上前から知られてるし、対策も難しくないのに何で未だにこんな問題が起こるんだろうな
12 :名無しさん@涙目です。(千葉県):2011/09/07(水) 12:30:33.61 ID:P8xJVx1P0
SQLとか前世紀の遺物だから、さっさと駆逐して欲しいわ。
13 :名無しさん@涙目です。(catv?):2011/09/07(水) 12:34:04.92 ID:iaY8JZvW0
select * from dns where id = '@x';
@xが変数とする
@xに 「1' OR '1' = '1」を代入すると
select * from dns where id = '1' OR '1' = '1';
あら、不思議wwwwwwww
OR 条件によって'1' = '1'は常に真な為、全件が表示されるというSQLインジェクション
@xが変数とする
@xに 「1' OR '1' = '1」を代入すると
select * from dns where id = '1' OR '1' = '1';
あら、不思議wwwwwwww
OR 条件によって'1' = '1'は常に真な為、全件が表示されるというSQLインジェクション
14 :名無しさん@涙目です。(庭):2011/09/07(水) 12:34:32.22 ID:Zl5Zl9Ot0
全然わかんないけど、htmlspecialchars()関数で囲わなきゃならなかったのに
囲ってなかったとかそういうレベルの話ですか?
囲ってなかったとかそういうレベルの話ですか?
思い出した。サニタイジングだ。
それすらもやってなかったのか?このサイトは。
それすらもやってなかったのか?このサイトは。