《黑客军团》影迷对电影网站Mr.Robot进行了安全检测

阅读量116586

|

发布时间 : 2016-05-17 20:24:17

x
译文声明

本文是翻译文章,文章来源:安全客

原文地址:http://arstechnica.com/security/2016/05/hacker-fans-give-mr-robot-website-free-security-checkup/

译文仅供参考,具体内容表达以及含义原文为准。

在美国电视网(USA Network)的安全人员修复了之前的XSS漏洞后不久,黑客们又找到了一种新的攻击方式,即SQL恶意代码注入攻击

http://p2.qhimg.com/t018e93ac4f0c6f765f.png

Mr.Robot是美国电视网旗下的一个介绍电视剧、电影、脱口秀以及相关娱乐节目的子网站。近期,根据美国电视网的调查显示,与该网站同名的一部美剧《Mr.Robot》(黑客军团),因其剧情对黑客攻击和信息安全维护等方面进行了生动地描写,让广大民众了解这一领域的相关知识,而得到了广大的赞誉和好评。受到该部电视剧的影响,Mr.Robot Website吸引了一批被称为“白帽子(white hat)”的黑客爱好者的关注。他们热衷于网络安全研究,决定为Mr.Robot开展漏洞查找工作。

510日,美国电视网为Mr.Robot建立了一个新的站点,为的是要推广即将在7月亮相的,在美国电视网发布系列第二季中推出的新版网页页面。该页面是基于Java-Script脚本语言编写的网页页面,同时还能进行文本输入和Linux shell界面模拟,并配备有一个GRUBGRand Unified BootloaderGNU项目操作系统启动程序)的消息启动机制。在同一天,根据福布斯杂志记者Thomas Fox-Brewster的报道,一位化名为Zemnmez的白帽黑客表示,在Mr.Robot中存在一个XSS(跨站脚本攻击)漏洞。黑客可利用该漏洞,来骗取Mr.Robot站点访客的,在Facebook中的文件配置数据。Zemnmez将这一漏洞的相关情况,通过电邮的方式,向《Mr.Robot》的作者Sam Esmail进行了汇报。数小时后,根据NBC(美国国家广播公司,USA Network的母公司)报道,该漏洞已经被修复。

关于这一XSS漏洞的报道,引起了该剧(《Mr.Robot.》)其他热衷粉丝的广泛关注。513日,另一名自称Corenumb的白帽黑客声称,他已经破解了Mr.Robot站点用户,用于注册的e-mail密码;同时从网页所使用的PHP代码中,发现了一个能进行SQL注入攻击的漏洞。黑客可通过该漏洞,向其网页编译代码中,加入恶意SQL执行语句,使程序在执行时,能够忽略网页弹出的攻击预警消息;同时,通过执行恶意SQL语句的方式,黑客可直接攻击存储有节目列表等信息的后台数据库。Corenumb还对后台数据库中的数据和服务器的运行情况进行了检查。该后台服务器使用的是SQL map,它是一款开源渗透测试工具,可以自动探测和利用SQL注入漏洞来接管数据库服务器。

NBCCorenumb所反映的情况,迅速给予了回应。但到目前为止,还没有任何消息能够表明该漏洞已经得到修复。而能让我们感到欣慰的一点是,一些热衷于《Mr.Robot》的白帽黑客已经帮助USA Network完成了一些系统渗透测试。

本文翻译自安全客 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
ResoLuT1On
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66