Neznámý hacker úspěšně napadl webový server Microsoftu. Na britských stránkách redmondské společnosti se místo standardního obsahu objevil cizí web s několika obrázky. Na jednom z nich bylo vyobrazeno malé dítě mávající saúdskoarabskou vlajkou.

Podle Rogera Halbheera, hlavního bezpečnostního poradce Microsoftu pro Evropu, Střední východ a Afriku, byla díra, jíž útočník využil, už opravena. Hacker, který se pod svou práci podepsal jako „rEmOtEr“, zaútočil oblíbenou technikou, jíž se říká SQL injection.

Při tomto vcelku jednoduchém útoku útočník podstrkává webové aplikaci postavené na dynamickém skriptovacím jazyku a komunikující s databází SQL příkazy pomocí formulářů na daném webu. Pokud webová aplikace není dostatečně zabezpečená, hacker pak může spustit jakýkoliv SQL příkaz, třeba INSERT, DELETE nebo DROP TABLE. Najde-li tedy v systému chybu, může se chovat tak, jako by byl administrátor stránek, může přidávat na web svůj obsah, ukrást důležitá data, či smazat obsah databáze. To, co vše si může hacker dovolit, záleží na nastavení databáze, ale v podstatě na základě chybových hlášení, které se mu vrátí, může odhadnout, jak je databáze strukturována a od toho odvíjet další útok. V případě stránek Microsoftu útočník nakonec našel způsob, jak databázi přinutit spolupracovat, a vložil do ní odkaz na externí stránku. Výsledek vidíte na obrázku.

Kredit: http://www.zone-h.org/

Podle Halbheera mohl Microsoft předejít útoku dvěma způsoby. Zaprvé by databáze neměla vracet chybová hlášení, zadruhé by webová aplikace měla ověřit a zamítnout externí URL, kterou hacker vložil do databáze.

Na závěr si můžete prohlédnou video, které tento útočník uveřejnil a které se týká útoku na web Microsoftu. Více zde.

Aktualizováno: Video na výše uvedeném serveru už není. Stáhněte si jej odtud (video pak v okně přehrávače maximalizujte)