Onet naprawia luki w kilkudziesięciu serwisach po zgłoszeniu nastolatka

12-05-2011, 17:13

Za pomocą jednej linii kodu można było otrzymać rekordy z bazy danych kilkudziesięciu serwisów Onet.pl. Po interwencji DI błąd został naprawiony w ciągu kilku godzin, a Onet sprawdza kolejne serwisy.

Do Dziennika Internautów zgłosił się Czytelnik, który już na początku zaznaczał, że serwisy Grupy Onet.pl są słabo zabezpieczone, a w efekcie podatne na działania SQL Injection, które polega na wydobywaniu informacji z bazy danych za pomocą odpowiednich zapytań do niej.

Sonda
Czy uważasz, że Twoje dane są dobrze zabezpieczone w serwisach?
  • tak
  • nie
  • nie mam zdania
wyniki  komentarze

Zgłaszający, 19-letni Oskar Zwierzchowski, stwierdził, że dzięki kilku zapytaniom można pobrać wiele danych z bazy kilkudziesięciu serwisów należących do Onet.pl. Co więcej, dalsze działania mogłyby doprowadzić do przejęcia kontroli nad maszyną poprzez wrzucenie odpowiedniego pliku na serwer i wykonanie go.

Zgadzam się z tezą, że w ogólności (nie mówię tu konkretnie o Onecie), w wyniku ataków SQL Injection w ręce włamywacza mogą wejść fragmenty lub całość bazy danych atakowanych serwerów. W niektórych przypadkach przy pomocy SQL Injection istnieje także możliwość umieszczenia i wykonania na atakowanym serwerze kodu przygotowanego przez atakującego, co może ale nie musi prowadzić do przejęcia kontroli nad maszyną – tłumaczy Piotr Konieczny z Niebezpiecznik.pl.

>> Czytaj też: Nowa, skromna porcja łatek od Microsoftu

Po kilku godzinach od interwencji Dziennika Internautów, błąd został naprawiony. Istnienie tej luki, pozwalającej przy pomocy SQL Injection, na manipulację zapytaniami do niektórych baz danych potwierdził nasz audyt. Została ona niezwłocznie usunięta przez programistów. Zgłoszona podatność pozwalała m.in. wyświetlić ograniczone dane z bazy obsługującej serwisy (m.in. sexi.onet.pl) – tłumaczy Paweł Klimiuk, rzecznik prasowy Grupy Onet.pl

Według przedstawiciela Onetu większość z serwisów nie posiada funkcji logowania, gdzie użytkownicy mogliby przechowywać ważne dane, np. hasła. Serwisy te są statyczne i nie muszą być połączone w jedną całość. Ostatecznie potwierdzono, że ataku można było dokonać na jednym serwisie, trwają jednak prace nad sprawdzeniem kolejnych, które były na liście Zwierzchowskiego.

Do kwestii bezpieczeństwa przykładamy, jak każdy przedsiębiorca internetowy, dużą uwagę, przeprowadzając regularne zewnętrzne i wewnętrzne audyty. Oznacza to również reagowanie na zgłoszenia użytkowników, dlatego proszę o podanie konkretnych przykładów.
Choć to truizm, to każde z istniejących zabezpieczeń w sieci poddawane jest rozmaitym próbom przełamania, najważniejsze, że w efekcie takich zgłoszeń, poprawia się bezpieczeństwo użytkowników
– dodaje Paweł Klimiuk.

>> Czytaj też: Programy Adobe znów pod ostrzałem

Ataki SQL Injection do pewnego momentu są bezkarne, jednak po przekroczeniu progu, gdy atakujący ingeruje w pliki na serwerze bądź przesyła swoje, może odpowiadać przed sądem.


Źródło: DI24.pl
Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Październik 2019»
PoWtŚrCzwPtSbNd
 123456
78910111213
14151617181920
21222324252627
28293031