Övriga diskussioner

Hackerattacken mot bloggtoppen.se, gratisbio mm

2011-10-26 10:26 #0 av: [Fibbe]

Hej hej!

Det finns uppenbarligen väldigt dålig säkerhet på webben idag. bloggportalen, gratisbio mm blev hackat på grund av, en liten men väldigt viktig detalj, utvecklaren glömt.

Så här gick attacken till:

Utvecklaren hade glömt att kontrollera data från adressfältet. En användare gick in på en sida med URL: www.hemsida.se/search/[sökord]/

Sedan använde utvecklaren sökordet, utan att kontrollera innehåll, direkt i en sql-fråg:

mysql_query("SELECT * FROM blogs MATCH(search) AGAINST([SÖKORD])");

Vi kan med andra ord ändra på sökordet hur vi vill, till exempel så att vi får en helt annan sökfråga och allas användarnamn och lösenord som resultat.

 

Lösning:

Smidigaste lösningen är att använda, i php, funktionen mysql_real_escape_string på sökordet. Då ser mysql till att det inte går att ändra fråga. Alltså, hade utvecklaren skrivit sql-frågan så här:

mysql_query("SELECT * FROM blogs MATCH(search) AGAINST({mysql_real_escape_string([SÖKORD])})");

Så hade aldrig detta hänt. Tänk på det!

 

 

Eftersom många har samma lösenord till många sidor är detta katastrof. På olika forum går man igenom alla hackade konton och ser om de även fungerar på facebook, hotmail, gmail, riksdagsmail, aftonblandet osv...

 

 

Ps.
Jag har fått tillgång till en databas med alla 303 688 hackade konton. Om ni vill kolla om ni finns så säg bara till så gör jag en sökning. Det är då viktigt att man byter lösenord på alla sidor där man har samma lösenord.

Mvh Felix

Intresserad av Php, MySQL eller övrig webbprogrammering?
Välkommen till webbprogrammering.ifokus.se

Anmäl
2011-10-27 13:48 #1 av: mau5

Håller med

 

Anmäl
2011-10-27 17:20 #2 av: [Dominik]

#1 Gör du ?

Anmäl
2011-10-29 15:06 #3 av: Stephanie

#2 Gör inte du?

Anmäl
2011-12-13 08:41 #4 av: klong

Säkerhet är det viktigast man ska tänka på om man gör en hemsida eller liknande. Förlitar mig inte på databaser som säkerheten handlar om att filtrera stings som mysql. Själv kör jag en del mongodb som har ett helt annat system

Anmäl

Bli medlem på iFokus

För att kunna delta i diskussionen måste du bli medlem på iFokus. Det går snabbt, enkelt, och kostar ingenting. Medlemskapet ger dig tillgång till över 300 sajter.