tesla design studio 800

Κενό ασφαλείας στην ιστοσελίδα της Tesla Motors επέτρεπε SQL Injection

Ο Bitquark, ένας ερευνητής ασφαλείας εντόπισε μια ευπάθεια που επέτρεπε SQL Injection στην επίσημη ιστοσελίδα της Tesla Motors. Ευτυχώς, εταιρεία αντέδρασε αμέσως και έκλεισε το κενό ασφαλείας στην ιστοσελίδα της αμέσως μετά την κοινοποίηση της ύπαρξής του.

Αρχικά, ο εμπειρογνώμονας διαπίστωσε κάποια τρωτά σημεία cross-site scripting (XSS) στην ιστοσελίδα της Tesla. Ωστόσο, μετά από αργότερα, ανακάλυψε ένα σφάλμα που επέτρεπε SQL Injection στη σελίδα του στούντιο σχεδιασμού της Tesla Motors, η οποία επέτρεπε στους πελάτες να προσαρμόσουν το αυτοκίνητό τους πριν από την παραγγελία τους.

tesla_design_studio_800

Το ελάττωμα υπήρχε στο URL shortener που χρησιμοποιούνταν από τους πελάτες για να μοιράζονται τη διαμόρφωση που είχαν δημιουργήσει με τους φίλους τους. Η ευπάθεια άφηνε εκτεθειμένη την backend βάση δεδομένων, που συμπεριλάμβανε τα αρχείων των πελατών της εταιρείας και τις πιστοποιήσεις του διαχειριστή.

tesla_time_curl_800

Η Tesla κατάφερε να διορθώσει το πρόβλημα, αφού πήρε από τον ερευνητή ασφαλείας τις τεχνικές λεπτομέρειες και ένα Python script το οποίο χρησιμοποίησε για να πραγματοποιήσει το exploit στο κενό ασφαλείας.

Πρόσθετες πληροφορίες υπάρχουν στο blog του Bitquark.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).