Apple Facebook Google Microsoft badania bezpieczeństwo patronat DI prawa autorskie serwisy społecznościowe smartfony

Onet naprawia luki w kilkudziesięciu serwisach po zgłoszeniu nastolatka

12-05-2011, 17:13

Za pomocą jednej linii kodu można było otrzymać rekordy z bazy danych kilkudziesięciu serwisów Onet.pl. Po interwencji DI błąd został naprawiony w ciągu kilku godzin, a Onet sprawdza kolejne serwisy.

robot sprzątający

reklama


Do Dziennika Internautów zgłosił się Czytelnik, który już na początku zaznaczał, że serwisy Grupy Onet.pl są słabo zabezpieczone, a w efekcie podatne na działania SQL Injection, które polega na wydobywaniu informacji z bazy danych za pomocą odpowiednich zapytań do niej.

Sonda
Czy uważasz, że Twoje dane są dobrze zabezpieczone w serwisach?
  • tak
  • nie
  • nie mam zdania
wyniki  komentarze

Zgłaszający, 19-letni Oskar Zwierzchowski, stwierdził, że dzięki kilku zapytaniom można pobrać wiele danych z bazy kilkudziesięciu serwisów należących do Onet.pl. Co więcej, dalsze działania mogłyby doprowadzić do przejęcia kontroli nad maszyną poprzez wrzucenie odpowiedniego pliku na serwer i wykonanie go.

Zgadzam się z tezą, że w ogólności (nie mówię tu konkretnie o Onecie), w wyniku ataków SQL Injection w ręce włamywacza mogą wejść fragmenty lub całość bazy danych atakowanych serwerów. W niektórych przypadkach przy pomocy SQL Injection istnieje także możliwość umieszczenia i wykonania na atakowanym serwerze kodu przygotowanego przez atakującego, co może ale nie musi prowadzić do przejęcia kontroli nad maszyną – tłumaczy Piotr Konieczny z Niebezpiecznik.pl.

>> Czytaj też: Nowa, skromna porcja łatek od Microsoftu

Po kilku godzinach od interwencji Dziennika Internautów, błąd został naprawiony. Istnienie tej luki, pozwalającej przy pomocy SQL Injection, na manipulację zapytaniami do niektórych baz danych potwierdził nasz audyt. Została ona niezwłocznie usunięta przez programistów. Zgłoszona podatność pozwalała m.in. wyświetlić ograniczone dane z bazy obsługującej serwisy (m.in. sexi.onet.pl) – tłumaczy Paweł Klimiuk, rzecznik prasowy Grupy Onet.pl

Według przedstawiciela Onetu większość z serwisów nie posiada funkcji logowania, gdzie użytkownicy mogliby przechowywać ważne dane, np. hasła. Serwisy te są statyczne i nie muszą być połączone w jedną całość. Ostatecznie potwierdzono, że ataku można było dokonać na jednym serwisie, trwają jednak prace nad sprawdzeniem kolejnych, które były na liście Zwierzchowskiego.

Do kwestii bezpieczeństwa przykładamy, jak każdy przedsiębiorca internetowy, dużą uwagę, przeprowadzając regularne zewnętrzne i wewnętrzne audyty. Oznacza to również reagowanie na zgłoszenia użytkowników, dlatego proszę o podanie konkretnych przykładów.
Choć to truizm, to każde z istniejących zabezpieczeń w sieci poddawane jest rozmaitym próbom przełamania, najważniejsze, że w efekcie takich zgłoszeń, poprawia się bezpieczeństwo użytkowników
– dodaje Paweł Klimiuk.

>> Czytaj też: Programy Adobe znów pod ostrzałem

Ataki SQL Injection do pewnego momentu są bezkarne, jednak po przekroczeniu progu, gdy atakujący ingeruje w pliki na serwerze bądź przesyła swoje, może odpowiadać przed sądem.


Aktualności | Porady | Gościnnie | Katalog
Bukmacherzy | Sprawdź auto | Praca
biurowirtualnewarszawa.pl wirtualne biura w Śródmieściu Warszawy


Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.

              *              

Źródło: DI24.pl

Wszystkie Listy czytelników kierowane do DI są czytane przez redaktorów. Niektóre pytania / prośby do redakcji mogą dotyczyć szerszego grona internautów, wymagać wypowiedzi ekspertów lub zainteresowanych stron, wówczas traktowane są jako tematy interwencyjne. Wszelkie sprawy, którymi Waszym zdaniem powinniśmy się zająć prosimy kierować na adres: interwencje@di.com.pl