Hackean la web inglesa de Microsoft mediante inyección de SQL
Fecha Lunes, 02 julio a las 23:45:00
Tema Hackers y Hacking
El pasado miércoles, una de las páginas que mantiene la filial inglesa
de Microsoft (www.microsoft.co.uk) que mostraba inicialmente un evento
para partners fue modificada por la fotografía de un niño agitando la
bandera de Arabia Saudí.
Este defacement (o desfiguración) se produjo aprovechando las ya
conocidas técnicas de SQL Inyection, o inyección SQL, a las que era
vulnerable la página y, una vez conseguido, la noticia se propagó por
decenas de blogs y sitios especializados en seguridadpara Microsoft en Europa, el hecho de que la página en cuestión fuese
vulnerable a técnicas de ataque mediante inyección SQL fue un error
desafortunado.
El hacker, que firmó su hazaña como “rEmOtEr”, utilizó en su ataque
sencillas técnicas de inyección de código que le valieron para obtener
acceso a la base de datos de la aplicación mediante la modificación de
los parámetros de entrada en la URL. Según Halbheer, el atacante envió
varias consultas al servidor de Microsoft que alojaba la página en la
que se anunciaba el evento para conocer su estructura. Con
posterioridad, “rEmOtEr” realizó una modificación en la base de datos
con el fin de que, cada vez que mostrase el evento, en su lugar saliera
la fotografía del niño con la bandera de Arabia Saudí.
Este tipo de ataques están perfecta y ampliamente documentados en
multitud de sitios web de internet (PC World ha realizado varios cursos
de protección ante éstas y otras técnicas similares, como inyección de
SQL a ciegas, o Blind SQL Injection). De hecho, se da la paradoja de
que Microsoft es una de las empresas que más ha tratado de alertar a
las empresas de este tipo de vulnerabilidades en múltiples eventos
mundiales, como PDC; europeos, como TechED; o locales, como Security
Day.
Esta desfiguración no es la primera que afecta a Microsoft ya que, hace
tan sólo unos meses, se realizó con éxito otro ataque, esta vez en la
página ieak.microsoft.com, donde se mostró una fotografía de Bill Gates
en la que se le veía cubierto de tarta.
Conviene recordar que los ataques de inyección de código no son
responsabilidad de Microsoft, ni son inherentes a productos de
Microsoft, sino que se trata de vulnerabilidades independientes de
plataformas o sistemas.
Para evitar este tipo de ataques es necesario revisar el código que se
va a publicar en el servidor web, evitando el envío de comillas o
comandos del sistema (como delete, update, insert, por ejemplo), así
como validar todo tipo de datos de entrada (por valor o por referencia)
desde las páginas web por parte del usuario. Para ello es importante
tratar, por defecto, al visitante de la web como hostil, ya que en
cualquier momento puede penetrar en cualquiera de nuestros servicios.
http://www.idg.es
|
|