Incydenty

Źródło: softpedia.com

Włamanie na stronę brytyjskiego parlamentu było możliwe przez wykorzystanie podatności na SQL injection. Incydent wykazał słabą ochronę administracyjną witryny.

Lukę w stronie parliament.uk znalazł rumuński haker nazywający siebie UNU (słynie on z “testowania” popularnych witryn, znalazł już luki na stronach takich firm jak Kaspersky, BitDefender, F-Secure, Symantec, a także na stronach International Herald Tribune, British Telecom, Tiscali, Orange France)

Wg UNU, podatność była zlokalizowana w skrypcie php używanym na stronie lifepeeragesact.parliament.uk, który nieprawidłowo przetwarzał dane wejściowe. Słabość ta pozwalala na wykonanie zapytania SQL z bazy poprzez modyfikację adresu URL.

Przy okazji wyszedł też na jaw fakt, że hasła administratorów były przechowywane w formie jawnego tekstu, niektóre zbliżone do nazw użytkowników, niektóre składały się ze “słownikowych” wyrazów.

Więcej informacji nt incydentu + zrzuty ekranowe na stronie UK Parliament Website Hacked