Sitat av
ma10as
Hvordan går en hacker frem for å hente ut slik data? Er det utnytting av sikkerhetshull i selve nettsiden, eller er det et angrep rettet mot selve serveren? Eller er det kanskje så enkelt som svake passord som blir bruteforcet?
- Prøving og feiling. Kan en bruker sende data til server(login-feil eller søkefelt f.eks.) så er det en mulighet for at dette kan utnyttes.
- Hvis programvaren som brukes på serveren er utdatert kan det potensielt finnes exploits som kan brukes.
Sitat av
ma10as
Men noe sier meg at så store mengder data som ble hentet ut fra nevnte side ikke ble lekket med en stuslig sql-injection. Eller tar jeg feil her?
Du tar nok litt feil. Det er så absolutt mulig å hente ut store datamengder ved hjelp av SQL-Injections.
Nå vet jeg ikke hvilken sårbarhet de utnyttet i dette tilfellet, men det kan godt være en kombinasjon av å bruke SQL-Injections, samt å finne brukernavn/passord til databasen, for så å koble seg til denne med <insert program name here> - og på denne måten dumpe hele databasen.
Sitat av ma10as
Må jeg som en webprogrammerer også stole på at serveren siden hostes på har god sikkerhet, eller er det ene og alene mitt ansvar å skrive skikkelig kode? Vil jeg i så fall være trygg?
Du bør i alle fall være obs på om serveren kjører nyeste versjon av programvaren som brukes (web-server, database osv.).
Når det kommer til sårbarheter i nettsider (SQL-Injections, XSS, LFI, RFI osv.) så er det nok ditt ansvar å sørge for at det ikke finnes slike sårbarheter.
Sist endret av s1gh; 22. desember 2011 kl. 23:07.