Каждый четвертый сайт может быть взломан и с ними может произойти то, что
предположительно члены LulzSec проделали с серверами News International на
прошлой неделе, когда на сайте The Sun была
опубликована поддельная история о
смерти Руперта Мердока.
В четверг ночью хакеры LulzSec использовали PHP-инъекцию (RFI) на
законсервированном внутреннем сервере, где был размещен домен 'new-times.co.uk'.
RFI-уязвимость
обычно позволяет хакерам установить полный контроль над сервером жертвы для
загрузки изображений или скриптов с внешнего сайта. Получение доступа к
обсуждаемому серверу затем позволило хакеру с легкостью получить доступ к
системе управления контентом сайта The Sun.
Хотя метод взлома еще предстоит подтвердить, группировка LulzSec известна
своей эксплуатацией RFI-уязвимостей во время взломов, согласно исследователю из
фирмы безопасности, который отказался назвать свое имя.
"Печально то, что четверть сайтов могут быть взломаны подобным образом.
Настолько много сайтов имеют такие уязвимости", - сообщил он. "Хотя большая
часть того, что было сказано об этом взломе всего лишь догадки".
Исследователь заявил, что большинство из того, что было сказано в отношении
методов, которыми хакеры заполучили огромный дамп почты News International, было
лишь "пустой болтовней".
Джейсон Стир, старший архитектор отраслевых решений в фирме Veracode,
согласился, что RFI-уязвимость, вероятнее всего, была способом, посредством
которого LulzSec удалось опубликовать вымышленную историю на Sun.
"Уязвимость достаточно хорошо описана. Она была представлена в списке
OWASP top 10
в 2007 году и разработчикам не составит большого труда ее устранить", - сообщил
он. "Если ты хакер, ты не пойдешь на нечто трудное и защищенное, скорее это
будут более простые [относительно непропатченные] системы".
Джон Сток, старший консультант безопасности в Outpost 24, заявил, что 99%
RFI-уязвимостей связаны с плохим программированием и что компаниям следует
обращать больше внимания на сканирование своих систем с целью выявления таких
уязвимостей.
"SQL-уязвимость несет негативные последствия, поскольку она может позволить
хакерам извлечь данные, но включение сторонних файлов еще хуже. Ты можешь
захватить сервер и получать доступ к данным", - сообщил он.
Сток призвал разработчиков проконсультироваться у OWASP относительно
безопасных практик кодирования.
"Я считаю, что не следует выкладывать что-либо в интернет без проверки. News
International потратила миллионы на свою безопасность, а услуги OWASP пока
бесплатны".
