2 Mio. Ubuntu-Nutzer betroffen: Hacker brechen bei Canonical ein
Hackern ist es gelungen, Daten von Millionen Ubuntu-Nutzern zu erbeuten. Wie Canonical, Herausgeber der Linux-Distribution mitteilt, waren die sensiblen Informationen über einen Fehler im System des Nutzer-Forums abgegriffen worden. mehr...
Diese Nachricht vollständig anzeigen.
Kommentar abgeben
Netiquette beachten!
Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- cat ossoft_unx:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Aber wer gibt denn in einem freien Nutzerforum heute noch seinen korrekten Namen oder seine persönliche E-Mail-Adresse an, wo doch bekannt ist, dass alle Datenbanken irgendwann in den Händen von Black Hats landen? Wenn man das nicht tut, interessiert es einen als Foren-Nutzer doch wohl nicht groß, ob jemand die Datenbank klaut.
Einfach die Benutzertabelle umbenannt und hey presto, solche Versuche laufen ins Leere; sogar dann, wenn SQL injection "eigentlich" Erfolg gehabt hätte.
http://dev.mysql.com/doc/refman/5.7/en/show-tables.html
Abgesehen davon ist SQL Injection nix in der Richtung von "zeig alles an was ich Dir sag". Da läuft sehr viel blind ab und zB SELECT * from phpbb_users läuft deswegen so gut, weil es pauschal erstmal auf so gut wie allen phpBB-Installationen Ergebnisse liefert; da muß man nicht extra Ausgaben kriegen, um das zu wissen. Welche Forensoftware läuft, das verrät bereitwillig schon der Footer der Foren(web)seiten (und wenn nicht, der Quelltext, und wenn der auch nicht, die Dateinamenskonventionen; sowas könnt man alles umbiegen, tut aber auch so gut wie niemand).
Natürlich kann man das alles umgehen, aber es macht den Angriff schwieriger; die Kunst ist denn auch nicht, jeden Angriff erfolgreich abzuwehren, sondern eher, sich als Angriffsziel möglichst uninteressant zu gestalten.
Dazu kommt aber blöderweise, daß inzwischen lizensierte Software nicht mal mehr angeschaut wird, die muß nur funktionieren; würde man das tun, hätte man entweder die eine oder andere ungeprüfte Eingabe gefunden im Quellcode oder, falls nicht, wäre da jetzt nicht das flaue Gefühl im Magen.
Soo schwer ist das jetzt nicht, etwas gegen SQL Injection zu unternehmen. Aber, husch husch aus dem Ärmel geschüttelt kriegt man leider auch so Späßchen wie "INSERT $_REQUEST['p'] INTO userdb'; da darf man sich dann nicht wundern, wenn die eigenen Daten gestern schon abgefischt wurden.
Übrigens, bezugnehmend auf Deinen Hinweis: SHOW benötigt entsprechende Permissions. Wer sich hinstellt und XAMPP nimmt, hat an dieser Stelle Pech. Und wer sich hinstellt und den dbadmin als Benutzernamen für seine Webanwendung(en) nimmt - oder gar seinem Webbenutzer explizite GRANTs einräumt! -- hat buchstäblich selber Schuld.
Da wären wir dann auch wieder beim Ausgangsthema: Einfach durchgeklickt und alles so übernommen und dann waren natürlich sämtliche Schutzmechanismen erfolgreich umgangen, schon bei der Einrichtung. (Oder XAMPP genommen. Wäre ja nicht das erste Mal.)
Was hat denn bitte das Forum mit dem Nutzen von Ubuntu zu tun?!