Сайт Ассоциации звукозаписывающих компаний США (Recording Industry Association of America) после долгого отсутствия, вновь появился в Сети — но, как выяснилось, совсем ненадолго.
Причиной его длительной недоступности оказалось исключительно настойчивая бомбёжка со стороны хакеров: The Register уже назвал этот сайт главным объектом охоты со стороны сетевых хулиганов.
Видимо, охота продолжается — и не безуспешно. Недавно, по сообщению The Register, RIAA.org сменил хостинг, отдавшись на милость новоиспечённой компании Tomorrow Solutions Today — частного предприятия некоего ветерана ВС США, причём RIAA стали его первыми клиентами.
Что довольно странно, учитывая, какие деньги вкладываются в антипиратскую пропаганду звукозаписывающими компаниями. Или на хостинге решили сэкономить?
Сегодня сайт снова работает. Как стало известно Securitylab, все взломы связанны с ошибкой программирования SQL injection, позволяющей изменить существующий SQL запрос. Например запрос:
http://www.riaa.org/PR_story.cfm?id=(select+top+1+table_name+from+INFORMATION_SCHEMA.TABLES) Раскрывает имя первой таблицы ('Employees' ).
Более подробно как использовать уязвимость SQl injection для ASP + MSSQL можно прочитать здесь: http://www.securitylab.ru/?ID=31623
Главная | Библиотека | Статьи | Форум Ссылки | Команда | Контакты
