Ευπάθεια SQL Injection στο Sony Playstation Network

Τα προσωπικά στοιχεία των χρηστών του Sony Playstation θα μπορούσαν να είναι άλλη μια φορά σε κίνδυνο λόγω ενός bug που επιτρέπει blind SQL injection στην ιστο της, όπως ισχυρίζεται ένας penetration tester.
Ο 20χρονος Aria Akhavan από την Αυστρία, αναφέρει ότι ανακάλυψε μια ευπάθεια που θα μπορούσε να επιτρέψει σε έναν εισβολέα να αποκτήσει πληροφορίες από τη βάση δεδομένων της ιστοσελίδας, χρησιμοποιώντας SQL queries.SQL Injection SQL Injection SQL Injection SQL Injection
Η ευπάθεια είναι δύσκολο να αξιοποιηθεί, αλλά δεν είναι ακατόρθωτο.
Ένα blind SQL injection είναι πιο δύσκολο να αποδώσει καρπούς αν το συγκρίνουμε με ένα κανονικό SQL injection, επειδή τα δεδομένα δεν εμφανίζονται στην ιστοσελίδα άμεσα. Η σελίδα επιστρέφει ένα γενικό μήνυμα λάθους και ο εισβολέας θα πρέπει να αρχίσει να δίνει ερωτήσεις αληθείς ή ψευδείς με SQL queries, προκειμένου να ανακτήσει τις πληροφορίες της βάσης δεδομένων.

Παρά το γεγονός ότι αυτό το είδος της επίθεσης απαιτεί περισσότερο χρόνο για να πραγματοποιηθεί, μπορεί να επιταχυνθεί με τη χρήση αυτοματοποιημένων εργαλείων, όταν ο στόχος και η ευπάθεια έχουν επισημανθεί.

Ο ερευνητής ασφάλειας, δήλωσε σε συνέντευξή του στο Effect Hacking ότι έχει έρθει σε επαφή με τη Sony για αυτό το θέμα από τα μέσα Οκτωβρίου, αλλά δεν έχει λάβει ακόμη απάντηση. Εν τω μεταξύ η ευπάθεια συνεχίζει να υπάρχει.

Ο Akhavan δήλωσε ότι μελετάει τεχνικές δοκιμές διείσδυσης για περίπου πέντε χρόνια και αρνήθηκε να μοιραστεί τα των δοκιμών που πραγματοποίησε στο site της Sony.

Να υπενθυμίσουμε ότι η Sony έχει ιστορία περιστατικών παραβίασης δεδομένων. Πριν από λίγο καιρό η ήταν σταθερός στόχος μιας ομάδας που είναι γνωστή ως Lizard Squad. Η ομάδα πραγματοποιούσε DDoS, κόβοντας την πρόσβαση στο ηλεκτρονικό δίκτυο.

Οι επιθέσεις DDoS δεν έχουν σχεδιαστεί για να υποκλέπτουν στοιχεία, αν και μπορούν να χρησιμοποιηθούν για να αποσπάσουν την προσοχή από μια διαφορετική επίθεση που έχει αυτό το σκοπό και γίνεται από “πίσω”.

Μια προηγούμενη επίθεση στο PlayStation Network, οδήγησε στη διαρροή προσωπικών και οικονομικών στοιχείων από τουλάχιστον 77 εκατομμύρια πελάτες της εταιρείας.

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).