Cita de: Debci en 27 Marzo 2011, 21:46 PM
But I can't find a description of the vulnerability, only a poor description like SQL injection xDD
Is possible to know more detailed?
Reagards
The parameters are linked on "Targets:"
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
Mostrar Mensajes MenúCita de: Debci en 27 Marzo 2011, 21:46 PM
But I can't find a description of the vulnerability, only a poor description like SQL injection xDD
Is possible to know more detailed?
Reagards
Cita de: .:WindHack:. en 1 Diciembre 2010, 16:40 PM
Interesting!. Good work!.
Thanks TinKode.
CitarUn hacker pretende haber ganado acceso total a la página web de la Marina Real Británica y la base de datos subyacente mediante un ataque de inyección SQL.
La revelación pública fue hecha por un entusiasta de seguridad rumano que utiliza en línea el apodo "TinKode."
El hacker de sombrero gris se especializa en la búsqueda de vulnerabilidades de la web como la inyección SQL y cross-site scripting (XSS).
En julio él reveló una debilidad de alto riesgo en YouTube, que posteriormente fue usada para envenenar comentarios de vídeo.
En un nuevo post en su blog, TinKode afirma que el compromiso de www.royalnavy.mod.uk ocurrió el 5 de noviembre a las 22: 55. La zona horaria no se especifica, pero Rumania es en UTC +02: 00.
El hacker menciona que el vector de ataque fue la inyección SQL, pero afortunadamente, él no divulga públicamente la URL vulnerable.
Sin embargo, da un vínculo a un archivo alojado en pastebin.com, que contiene información confidencial recopilada desde el servidor y la base de datos de la Web de la Marina Real.
Esto incluye una copia del archivo /etc/passwd, una lista de bases de datos MySQL, y también las tablas para algunas de ellas.
Para la base de datos "globalops", que suponemos que corresponde a la sección "Global Operations" del sitio web, TinKode enumera el contenido de la tabla "admin_users". Esto incluye las cuentas administrativas y sus correspondientes hashes de contraseñas.
El hacker incluso descifró la contraseña con hash para el usuario llamado "admin", y la publicó en texto sin formato. Basta decir que es ridículamente simple y en ningún modo apropiado para un sitio web militar.
Además, también ha registrado nombres de usuario y contraseñas hash para la sección "Jack Speak" blogs del sitio, que parece estar ejecutando WordPress. Hemos alertado el equipo de Royal Navy Web, pero todavía no recibimos una respuesta. Mientras tanto, el sitio web permanece en línea.
Inyección SQL es un tipo de vulnerabilidad, que deriva de un fallo en sanear correctamente la entrada del usuario. Permite a los atacantes ejecutar consultas delincuentes de base de datos mediante la manipulación de la dirección de URL vulnerable.
TinKode ha divulgado previamente vulnerabilidades similares en sitios web de la NASA y el ejército de los Estados Unidos- U.S Army. Al final de octubre anunció vulnerabilidades en los sitios web pertenecientes a U.S. Army 470th MI Brigade, U.S. Army Civil Affairs & Psychological Operations Command y National Weather Service (el Servicio meteorológico nacional).
==[ Author : TinKode
==[ WebSite : InSecurity.Ro
==[ Date : 05.11.2010
==[ Hour : 22:55 PM
==[ Target : www.royalnavy.mod.uk
==[ Document: Minister_Of_Defence_UK.txt
==[ Method : SQL Injection