【駭客揭露賽門鐵克網站資料隱碼漏洞】
<P align=center><STRONG><FONT size=5>【<FONT color=red>駭客揭露賽門鐵克網站資料隱碼漏洞</FONT>】</FONT></STRONG></P><P> </P>
<P><STRONG>新聞來源:iThome/文:陳曉莉 (編譯) <SPAN class=t_tag href="tag.php?name=200">200</SPAN>9-11-26</STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>Unu表示他只是企圖喚起資安業者重視網站安全,他並未儲存或濫用所存取的任何資料。 </STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>根據英國媒體The Register報導,一名來自羅馬尼亞的駭客Unu於本周展示如何利用駭客工具及Blind SQL Injection漏洞入侵資安業者賽門鐵克(Symantec)的伺服器,這也讓賽鐵克伺服器上所儲存的客戶資料有洩露的風險。 </STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>Unu展示如何利用現成的Pangolin及sqlmap等駭客工具及資料隱碼漏洞侵入賽門鐵克網站,以及存取包含客戶紀錄、密碼,及產品金鑰等資料的伺服器硬碟。 </STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>eWeek引用賽門鐵克說法指出,在pcd.symantec.com網站上存有資料隱碼漏洞,該站主要支援日本及南韓市場的Norton客戶,該事件並不影響該公司其他市場的用戶,也不會影響Norton產品的安全性與使用。</STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>目前賽門鐵克仍在調查。 </STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>資安業者Damballa研究副總裁Gunter Ollmann在部落格中表示,Blind SQL Injection並不是一個特別複雜的漏洞,但它通常是密集式的攻擊,所以很容易引起注意,不過現在有許多現成且強大的工具可用,這些工具及功能已成為殭屍網路的標準,意味著相關漏洞的攻擊以及資料庫的存取可在數分鐘內完成,讓業者來不及回應攻擊行動而無法避免資料外洩。 </STRONG></P>
<P><STRONG></STRONG> </P>
<P><STRONG>Unu今年2月也曾揭露巴斯基網站的資料隱碼漏洞,不過Unu表示他只是企圖喚起資安業者重視網站安全,他並未儲存或濫用所存取的任何資料。</STRONG> </P>
頁:
[1]