在美国电视网(USA Network)的安全人员修复了之前的XSS漏洞后不久,黑客们又找到了一种新的攻击方式,即SQL恶意代码注入攻击。
Mr.Robot是美国电视网旗下的一个介绍电视剧、电影、脱口秀以及相关娱乐节目的子网站。近期,根据美国电视网的调查显示,与该网站同名的一部美剧《Mr.Robot》(黑客军团),因其剧情对黑客攻击和信息安全维护等方面进行了生动地描写,让广大民众了解这一领域的相关知识,而得到了广大的赞誉和好评。受到该部电视剧的影响,Mr.Robot Website吸引了一批被称为“白帽子(white hat)”的黑客爱好者的关注。他们热衷于网络安全研究,决定为Mr.Robot开展漏洞查找工作。
5月10日,美国电视网为Mr.Robot建立了一个新的站点,为的是要推广即将在7月亮相的,在美国电视网发布系列第二季中推出的新版网页页面。该页面是基于Java-Script脚本语言编写的网页页面,同时还能进行文本输入和Linux shell界面模拟,并配备有一个GRUB(GRand Unified Bootloader:GNU项目操作系统启动程序)的消息启动机制。在同一天,根据福布斯杂志记者Thomas Fox-Brewster的报道,一位化名为Zemnmez的白帽黑客表示,在Mr.Robot中存在一个XSS(跨站脚本攻击)漏洞。黑客可利用该漏洞,来骗取Mr.Robot站点访客的,在Facebook中的文件配置数据。Zemnmez将这一漏洞的相关情况,通过电邮的方式,向《Mr.Robot》的作者Sam Esmail进行了汇报。数小时后,根据NBC(美国国家广播公司,USA Network的母公司)报道,该漏洞已经被修复。
关于这一XSS漏洞的报道,引起了该剧(《Mr.Robot.》)其他热衷粉丝的广泛关注。5月13日,另一名自称Corenumb的白帽黑客声称,他已经破解了Mr.Robot站点用户,用于注册的e-mail密码;同时从网页所使用的PHP代码中,发现了一个能进行SQL注入攻击的漏洞。黑客可通过该漏洞,向其网页编译代码中,加入恶意SQL执行语句,使程序在执行时,能够忽略网页弹出的攻击预警消息;同时,通过执行恶意SQL语句的方式,黑客可直接攻击存储有节目列表等信息的后台数据库。Corenumb还对后台数据库中的数据和服务器的运行情况进行了检查。该后台服务器使用的是SQL map,它是一款开源渗透测试工具,可以自动探测和利用SQL注入漏洞来接管数据库服务器。
NBC对Corenumb所反映的情况,迅速给予了回应。但到目前为止,还没有任何消息能够表明该漏洞已经得到修复。而能让我们感到欣慰的一点是,一些热衷于《Mr.Robot》的白帽黑客已经帮助USA Network完成了一些系统渗透测试。
发表评论
您还未登录,请先登录。
登录