Hệ thống Yahoo! Contributor đóng cửa vì lỗ hổng SQL Injection

 yh

Yahoo! Contributors Network (contributor.yahoo.com) là mạng lưới gồm những người tạo ra các nội dung như hình ảnh, video, bài viết và ý kiến cá nhân của họ với hơn 600 triệu người truy cập hàng tháng. Hiện nay, hệ thống này chứa lỗ hổng Blind SQL Injection.

Nhà nghiên cứu an ninh Behrouz Sadeghipour đã báo cáo lỗ hổng Blind SQLi trên trang Yahoo! có thể bị tin tặc khai thác đánh cắp cơ sở dữ liệu, thông tin cá nhân của người sử dụng và các nhà sáng tạo nên hệ thống. Sau khi được báo cáo, nhóm nghiên cứu của Yahoo! đã tích cực vá lỗ hổng thành công trong vòng một tháng. Nhưng thật không may, sau đó Yahoo! đã phải công bố đóng Yahoo! Contributors Network do bị giảm uy tín và mức độ phổ biến.

Tin tặc đã khai thác và kiếm lợi từ những thông tin và dữ liệu chúng thu thập, ăn cắp được. Trong khi tìm kiếm trên các trang web, các nhà nghiên cứu đã nhận thấy hai lỗ hổng trong đường dẫn sau đây:

  • http://contributor.yahoo.com/forum/search/?
  • http://contributor.yahoo.com//library/payments/data-table/?

Lỗ hổng này cho phép kẻ tấn công từ xa sử dụng lệnh SQL để truy cập trái phép vào cơ sở dữ liệu của cá nhân người dùng. Đây không phải lần đầu tiên Yahoo! bị tấn công như vậy.

SQL INJECTION VÀ TÁC ĐỘNG

Lỗ hổng SQL Injection (SQLi) đã xuất hiện khoảng hơn một thập kỷ trước. Nó sẽ chèn một truy vấn SQL bị thay đổi vào một ứng dụng thông qua đầu từ người dùng vào. Lỗ hổng này được xếp hạng là một lỗ hổng nguy hiểm nhất bởi nếu tin tặc sử dụng, nó sẽ làm rò rỉ thông tin bí mật trên diện rộng. Trong thực tế, mỗi ngày có hơn 50 nghìn cuộc tấn công liên quan đến tấn công SQLi và con số này sẽ còn tăng khi SQL injection vẫn còn tồn tại và vẫn đang phát triển.

Theo THN

Bình luận

Từ khóa: