Aktuality - Hacking

V phpMyAdmin 3.x bylo zjištěno několik zranitelností, které umožňují vzdálené spuštění kódu.

Server PenTestIT zveřejnil zdrojové kódy [link] počítačového červa Stuxnet [link] které byly získány dekompilací.
Zde ještě video k problematice Stuxnetu: [link]

Po nedávno ohlášené operaci AntiSec, přišla hackerská skupina LulzSec s nečekanou zprávou o ukončení své činnosti. Své 50ti-denní působení prý avizovala již od samého začátku. Podle některých se ale jedná spíše o strach z dopadení. Skupina během své činnosti stačila ukořistit velké množství důvěrných informací, které hodlá v následujících dnech publikovat.

Server idnes.cz přinesl zprávu o spojení dvou (v současnosti) nejznámějších a nejaktivnějších hackerských skupin LulzSec a Anonymous. Společnými silami chtějí provést operaci AntiSec, při které má být vedeno množství razantních útoků na weby vlád různých zemí.

Poprvé došlo k hacku webu novamaturita.cz den před spuštěním státních maturit. Nejadnalo se ovšem o poslední bezpečnostní incident, který tento web zažil. Během včerejšího dne mohli návštěvníci zmíněných stránek opět zaslechnout ze svých reproduktorů škodolibou píseň.

Wayne Huanga a výzkumný tým Armorize přichází s informací o nově se šířícím mass SQL útoku. Článek rozebírá vlastnosti a principy útoku a porovnává jej s nedávno velmi rozšířeným Lizamoonem.

Další zranitelnost tentokrát SQLi umožnila vykradení databáze a odcizení 1000000 uživatelských učtů a dat uživatelů včetně hesel v nešifrováné podobě, což je v dnešní době trestuhodné.

Ve spojení s Internet Explorerem všech verzí se objevila nová zranitelnost, která dostala název Cookiejacking. Během útoku může uživatel načíst do iframe obsah souboru cookie a pomocí metody drag&drop jej přenést na webovou stránku útočníka. Jedno z videí demonstrující popsaný útok můžete shlédnout například zde: [link]

Blog post rozebírá nedokonalé zabezpečení služby Dropbox. Pouhým zkopírováním databázového souboru získáte přístup do Dropbox úložiště. SQLite soubor není nijak spárován s daným operačním systémem a lze tedy snadno přenášet a kopírovat. Největší problém asi je, že o zrcadlení vašich dat se nedozvíte. Váš SQLite databázový soubor tedy teoreticky může být veřejně - stovky lidí může tiše klonovat vaše soubory a vy o tom nebudete vědět.

Na webu [link] byl uvolněn nástroj sqlmap pro automatizaci testování aplikací na zranitelnosti typu SQL injection. Nástroj obsahuje podporu mnoha typů databází a nabízí zajímavé funkce. Rozhodně tak stojí za vyzkoušení.