مشاهده نسخه کامل
: avril
13-10-2007, 23:31
هکري با نام مستعار "rEmOtEr" توانسته است با موفقيت سايت بريتانيايي کمپاني مايکروسافت را هک کند. اين هکر پس از نفوذ به سايت مايکروسافت موفق شده است با دستکاري صفحه اي درون سايت بريتانيايي مايکروسافت و قراردادن چندين عکس از جمله عکس بچه اي که پرچم کشور عربستان سعودي را تکان ميدهد، نفوذ خود را به اثبات رساند.
مشاور ارشد امنيتي مايکروسافت در اروپا، خاور ميانه و آفريقا در اين خصوص ميگويد:" حفره امنيتي مورد استفاده قرار گرفته ترميم شده است و مورد نگراني ديگري وجود ندارد اما مايه تاسف است که سايت بريتانيايي مايکروسافت اولين قرباني اين آسيب پذيري بوده است."
هکر مذکور با استفاده از روش تزريق کد در SQL يا (SQL Injection) و اجراي کد مخرب، دسترسي بدون اجازه اي به پايگاه داده وب سايت بريتانيايي مايکروسافت پيدا کرده است. در اين نمونه از روش حمله، درخواست هاي SQL در آدرس اينترنتي (URL) جاسازي ميشوند و به سرويس دهنده ميرسند. هکر نياز دارد تا شکلي نادرست از درخواست خود را به سرويس دهنده ارسال نمايد تا در نتيجه پيغام خطائي را از سرويس دهنده دريافت کند.
به اين صورت هکر مي تواند با برگشت پيغام هاي خطا، ساختار ريخته شده پايگاه داده را کشف نمايد. در قدم آخر هکر نمونه اي از درخواست مخرب خود را به سرويس دهنده ارسال ميکند که در اين مرحله پايگاه داده به دليل آسيب پذير بودن در عوض نمايش داده ها، داده جديد مد نظر هکر را وارد پايگاه داده مي کند.
در حمله به سايت مايکروسافت، هکر مسير حمله مشابه اي را پيموده است بطوريکه بازديدکنندگان صفحه هک شده در عوض مشاهده صفحه اصلي با تعدادي فايل تصوير مواجه مي شدند که از سايت هاي ديگر درون صفحه هک شده نمايش داده مي شده است.
Halbheer در مورد روش هاي جلوگيري از اين سبک از حملات ميگويد:" مايکروسافت مي توانسته به وسيله دو راه کار آسان بطور کامل روش نفوذ به اين سبک را متوقف نمايد. اول آنکه ميتوانسته پايگاه داده را طوري تنظيم نمايد که هيچ زمان پيغام خطا برگشت دهد و در روش دوم مي توانسته است برنامه کاربردي تحت وب را طوري تنظيم کند که آدرس هاي اينترنتي (URL) وارد شده توسط مهاجم را مورد ارزيابي و تاييد اعتبار قرار دهد."
قابل ذکر است که در سال گذشته سايت فرانسوي زبان مايکروسافت هک شد و در حدود چند ماه گذشته نيز سايت Microsoft IEAK قرباني حملات هکرها بود.
مشاور ارشد امنيتي مايکروسافت در اروپا، خاور ميانه و آفريقا در اين خصوص ميگويد:" حفره امنيتي مورد استفاده قرار گرفته ترميم شده است و مورد نگراني ديگري وجود ندارد اما مايه تاسف است که سايت بريتانيايي مايکروسافت اولين قرباني اين آسيب پذيري بوده است."
هکر مذکور با استفاده از روش تزريق کد در SQL يا (SQL Injection) و اجراي کد مخرب، دسترسي بدون اجازه اي به پايگاه داده وب سايت بريتانيايي مايکروسافت پيدا کرده است. در اين نمونه از روش حمله، درخواست هاي SQL در آدرس اينترنتي (URL) جاسازي ميشوند و به سرويس دهنده ميرسند. هکر نياز دارد تا شکلي نادرست از درخواست خود را به سرويس دهنده ارسال نمايد تا در نتيجه پيغام خطائي را از سرويس دهنده دريافت کند.
به اين صورت هکر مي تواند با برگشت پيغام هاي خطا، ساختار ريخته شده پايگاه داده را کشف نمايد. در قدم آخر هکر نمونه اي از درخواست مخرب خود را به سرويس دهنده ارسال ميکند که در اين مرحله پايگاه داده به دليل آسيب پذير بودن در عوض نمايش داده ها، داده جديد مد نظر هکر را وارد پايگاه داده مي کند.
در حمله به سايت مايکروسافت، هکر مسير حمله مشابه اي را پيموده است بطوريکه بازديدکنندگان صفحه هک شده در عوض مشاهده صفحه اصلي با تعدادي فايل تصوير مواجه مي شدند که از سايت هاي ديگر درون صفحه هک شده نمايش داده مي شده است.
Halbheer در مورد روش هاي جلوگيري از اين سبک از حملات ميگويد:" مايکروسافت مي توانسته به وسيله دو راه کار آسان بطور کامل روش نفوذ به اين سبک را متوقف نمايد. اول آنکه ميتوانسته پايگاه داده را طوري تنظيم نمايد که هيچ زمان پيغام خطا برگشت دهد و در روش دوم مي توانسته است برنامه کاربردي تحت وب را طوري تنظيم کند که آدرس هاي اينترنتي (URL) وارد شده توسط مهاجم را مورد ارزيابي و تاييد اعتبار قرار دهد."
قابل ذکر است که در سال گذشته سايت فرانسوي زبان مايکروسافت هک شد و در حدود چند ماه گذشته نيز سايت Microsoft IEAK قرباني حملات هکرها بود.