Universalmusic.dk hacket i julebølge af SQL-injektionsangreb

Den danske hjemmeside for pladeselskabet Universal er blandt flere store websteder, som i løbet af julen blev offer for en bølge af SQL-injektionsangreb.

Flere store websteder er løbet af den sidste uge blevet offer for en bølge af angreb mod sårbarheder i de webapplikationer, som driver webstederne.

I Danmark er det blandt andet gået ud over hjemmesiden for pladeselskabet Universal, oplyser sikkerhedsfirmaet CSIS.

CSIS advarede om de omfattende angreb den 26. december, og mandag den 29. december var nyhederne på forsiden af hjemmesiderne universal.dk og universalmusic.dk erstattet af en meddelelse fra en hackergruppe på tyrkisk.

Det er imidlertid blot en mere uskyldig del af angrebene. Ifølge CSIS har hackerne benyttet sig af SQL-injektionssårbarheder i webapplikationer til at indsætte scriptkode.

Koden er skrevet ved hjælp af ét af de kommercielle programmer til denne type angreb, som gør det muligt at udnytte en række kendte sårbarheder i flere programmer.

Det gælder blandt andet Windows, Internet Explorer, Adobe Reader, Java og QuickTime, oplyser CSIS. Sårbarhederne bliver udnyttet til at forsøge at få afviklet ondsindet programkode på brugerens pc, hvis han besøger et kompromitteret websted med software, som ikke er opdateret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anonym

Man må efterhånden have indset, at SQL-injection er et reelt problem.

Hvorfor tager man ikke tyren ved hornene, og laver et code review for at undgå den slags?

Hvis man har adgang til usenet, så er der masser af hints til løsninger, og der er tærsket masser af langhalm på det problem.

I mine øjne kan det da ikke være rigtigt, at man til trods for de massive angrebsbølger der har kørt i 2008, stadig ikke formår at sikre sit system.

Det er trods alt kun at lave sit SQL om fra 'streng genereret' til parameteriseret(aka placeholders aka prepared aka 'pick your vocabularium')

  • 0
  • 0
#2 Klaus Agnoletti

@Stig

Det er meget enkelt : penge og fokus. Der er en kedelig tendens til ikke at ville erkende en problematik på området før efter man er blevet hacket - men fint nok, så tjener man som konsulent også mere på kunden, fordi der også er en del brandslukning involveret.. men rimeligt ærgerligt at man er så amatøragtig - men det er de fleste altså..

/k

  • 0
  • 0
Log ind eller Opret konto for at kommentere