MySQL.com和Sun.com到底是如何被黑的？

【 3月30日外电头条】28日早上，甲骨文的许多人面红耳赤，原因是甲骨文旗下的两个网站：MySQL.com和Sun.com在上周末被经验极其老道的亦正亦邪的罗马尼亚黑客TinKode和搭档Ne0h攻破了。（可参阅《MySQL.com被SQL注入攻击 用户密码数据被公布》）这两个网站是一种来源尚未明确的SQL盲注攻击手法的受害者--你以为，MySQL的开发人员和管理员们完全知道如何防范这种类型的攻击。很显然，你想错了。

热文推荐：对搜狐、网易和TOM三大门户网站的SQL注入漏洞检测

检测在线数据库SQL注入漏洞的利器：HP Scrawlr

下面是具体的经过：星期天一大早，Jackh4xor安全组织向Full Disclosure（全面披露）邮件列表发去一封邮件，解释MySQL.com"很容易遭到SQL盲注攻击漏洞的袭击。"该邮件将MySQL.com客户浏览页面列为是目标网站。有人从MySQL.com网站窃取了一批数量惊人的数据库、表和字段，还有一小部分的用户名和密码，它们有的采用加密形式，有的没有加密。

此后不久，声称来自罗马尼亚Slacker.Ro的TinKode和Ne0h的一份冗长的列表出现在了Pastebin网站上。TinKode（或者更准确地说，是打着TinKode名号的那个人）曾先后闯入了美国陆军网站、Eset、美国宇航局、英国国防部、路透社及其他知名机构的网站。TinKode还称Jackh4x0r是"我们的朋友"；他声称，他和Ne0h在今年1月发现了这个安全漏洞。

TinKode的列表包括几个关键的用户名，如"sys"和"sysadmin"，还包括它们被破解的相应密码--最可能是使用彩虹表（rainbow table），从加密的密码中提取出来的。Sys（系统）的密码是"phorum5"；sysadmin（系统管理员）的密码是"qa."。显然，一些网站管理员不想为使用复杂的密码而操心。

MySQL.com网站包括几个WordPress博客（WordPress在MySQL上运行），TinKode和Ne0h都极其友善，把其中许多博客的ID和密码告诉给了全世界。前任MySQL项目管理主管（他在2009年以后就没有更新过其博客）的用户名为"admin"，密码是"6661"。前任社区关系副总裁（他在2010年1月以后就没有写过博文）同样采用了"admin"的用户名，相应的密码是"grankulla"。我觉得，公司头头们都不愿使用复杂的密码。 （编者注：话说网站密码的记忆的确是个大问题，如果不愿自己记密码，借助一些工具也不错。参考文章《1Password密码管理器使用指南》、《自己都不记得的密码 才是惟一安全的密码》）

值得一提的是，MySQL并不是因密码被窃取或被猜出而中黑手的。TinKode和Ne0h采用SQL盲注攻击手法，就攻破了该网站，他们针对的目标是接口，而不是数据库。TinKode还声称控制了MySQL.fr、MySQL.it、jp.MySQL.com和MySQL.de这四个网站。

TinKode对于黑掉Sun.com过程的描述似乎平淡无奇，只借助一份窃取来的表和字段，还有少数几个电子邮件地址，但根本没用到密码。至于他们是没有找到密码、根本就是不要密码，还是说将密码藏着掖着准备搞更邪恶的事，并不清楚。Sun.com是不是因MySQL.com遭到的同一种注入攻击手法而被攻破也不清楚。

谁监管监管者？这年头，还真不好说。

文章来源：http://www.infoworld.com/t/hacking/analysis-how-mysqlcom-and-suncom-got-hacked-909

【.com独家译稿，非经授权谢绝转载！合作媒体转载请注明原文出处及出处！】

【编辑推荐】

1. 打击黑客：从单打独斗到联合围剿
2. MySQL.com被SQL注入攻击 用户密码数据被公布
3. Opera称不受伊朗黑客伪造证书事件影响
4. Web2.0时代 需要防范黑客的5种新型在线攻击

当前文章：MySQL.com和Sun.com到底是如何被黑的？
路径分享：http://www.hantingmc.com/qtweb/news40/475340.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联