NSA Εντοπισμός κενού ασφαλείας από Έλληνες ερευνητές

Δύο κατάφεραν να εντοπίσουν ένα στην ιστοσελίδα της – (), κάτι που τους επέτρεψε να χρησιμοποιήσουν την τεχνική SQL injection και να αποκτήσουν πρόσβαση στη βάση δεδομένων του οργανισμού.

Οι ερευνητές Δημήτρης Χατζηδημήτρης και Αναστάσης Βασιλειάδης στις 20/03/2020 εντόπισαν μια ευπάθεια στην ασφάλεια της ιστοσελίδας: https://www.nsa.gov

Η ευπάθεια είναι τύπου SQL Injection και ο σύνδεσμος για την συγκεκριμένη αδυναμία παραμένει στην διάθεση της συντακτικής μας ομάδας.

Ορισμένα από τα στοιχεία της ευπάθειας:

Parameter: ver
Method: (GET)
Type: boolean-based blind
Title: AND boolean-based blind – WHERE or HAVING clause

Database: Microsoft_Access_mast****

NSA

Η οποία περιέχει 2 tables encoded !

Οι ερευνητές Δημήτρης Χατζηδημήτρης και Αναστάσης Βασιλειάδης αναφέρουν:

Μετά από αυτό δεν προχωρήσαμε παρακάτω σε μια ενδεχόμενη πρόσβαση στον server πέρα από την βάση εφόσον είχαμε ήδη επιβεβαιώσει την αδυναμία στην ασφάλεια της σελίδας.

NSA

H NSA ειδοποιήθηκε έγκαιρα για το κενό ασφαλείας στις 20/03/2020 και έως σήμερα δεν προχώρησε σε κάποια επιδιόρθωση αποτρέποντας μια ενδεχόμενη διαρροή προσωπικών δεδομένων από τρίτους με κακόβουλες προθέσεις.

  NSA: χαμηλό προφίλ στα φετινά συνέδρια hacker Black Hat και Def Con

Οι πληροφορίες παραμένουν στη διάθεση των άμεσα ενδιαφερομένων, από τους ίδιους τους ερευνητές αλλά και από την συντακτική μας ομάδα.

Η ενημέρωση για ευπάθειες που ανακαλύπτονται σε οργανισμούς θεωρείται άκρως απαραίτητη (ειδικά όταν υπάρχουν σε ιστοσελίδες υψηλής επισκεψιμότητας), και για εμάς αποτελούν άμεση προτεραιότητα.

Ευελπιστούμε ότι με αυτό τον τρόπο, δηλαδή την άμεση έκθεση της κάθε ευπάθειας, συμβάλουμε για ένα πιο ασφαλές διαδίκτυο.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by newsbot

Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω ... γιατί καμιά φορά κρύβονται οι συντάκτες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


3  +  3  =