место в рейтинге
  • 12559
  • 53
  • 7
Нравится блог?
Подписывайтесь!

www.sonypictures.com жизнь нас ничему не научила!

Все мы знаем что есть такая компания SonyPictures, но мало кто знает что в 2011 году сайт данной компании был взломан, что бы освежить память можно прочитать статью на хабре (http://habrahabr.ru/post/120523/).

 

Как это обычно у меня бывает сидишь вечером, не знаешь чем заняться, и тут в голову прокрадывается безумная мысль, "а что если?". А что если попробовать проPentest'ить сайт известный буржуйской компании? Не знаю как я вышел именно на их сайт. Но это уже не важно. Дырку уже залатали и я думаю что о данной ситуации можно рассказывать не опасаясь за последствия.

 

И так, дело было в не далеком октябре 2013-го, взяв на вооружение firefox и sqlmap я отправился искать лазейки. Но, долго искать не пришлось, и если честно это меня даже расстроило, ведь сайт такой крупной компании и так облажаться! Сначала я не верил что вижу на экране эти заветные слова "sql syntax error ..." но поработав с sqlmap я понял что это действительно так! Это была sql-инъекция в POST запросе:

http://www.sonypictures.com/tv/shows/seinfeld/episode_guide/index.php?sl=episode_search

POST:search_keyword=1&search_season=1'

все так банально и просто!

 

И так что же удалось получить эксплуатируя данную sql-инъекцию (опишу только часть данных),

Базы данных

 
[*] auth_tv
[*] beakmans
[*] droz_station
[*] information_schema
[*] KingOfQueens
[*] rescueme
[*] Seinfeld
 

Так же удалось получить доступ к логинам и паролям админов, и мало того что пароли хранились в открытом виде так они еще и были ну очень простыми, тупизм чистой воды!

 

так же на сайте присутствовали несколько XSS, но к сожалению на момент написания статьи скрины не сохранились.

 

Итого: Какой бы крутой компанией Вы не были, каким бы классным программистом Вы себя не считали, не забывайте что скромность удел сильных.  © у кого-то спер:)

 

P.S. Очень часто замечаю что многих жизнь ничему не учит, и даже после громкого взлома в 2011 году, компания Sony не позаботилась о безопасности своих ресурсов.

 

Среди Казахстанских компаний очень мало тех кого заботит собственный имидж и репутация, и в большинстве случаев сообщения о найденных уязвимостях просто игнорируются. Что способствует развитию вирусной активности и мошеннической деятельности.

 

Есть интересные предложения? Пишите :) sys32_89@mail.ru

b4trjan b4trjan
31 марта 2014, 12:06
1309

Загрузка...

Комментарии

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Я был удивлён, что в Азербайджане есть Казахский район

Я был удивлён, что в Азербайджане есть Казахский район

Мне как казаху по национальности очень хотелось туда попасть. Оказалось, что климат там намного суровей и люди, говорят, суровые и воинственные. Казах – город на западе Азербайджана...
alidimash
18 янв. 2017 / 21:50
  • 30797
  • 18
Многочасовые очереди, смерти в ЦОНах: почему вопросы об этом ставят парламентариев в тупик?

Многочасовые очереди, смерти в ЦОНах: почему вопросы об этом ставят парламентариев в тупик?

Ожидали ли депутаты Мажилиса всего этого? Как планировали этот процесс регистрации, и обсуждали ли его, прежде чем одним нажатием кнопки принять нормы с такими абсурдными временными рамками?
openqazaqstan
17 янв. 2017 / 14:32
  • 5259
  • 22
Астана глазами алматинских девушек. Как при таких погодных условиях можно выжить?

Астана глазами алматинских девушек. Как при таких погодных условиях можно выжить?

В спальных районах, и в высотных домах сквозь стены слышно завывание ветра. В особенности ночью. Такие звуки, я слышала, пожалуй, только по телевизору, в фильмах про метель.
Naomi_K
20 янв. 2017 / 12:36
Сильное ДТП произошло в Алматы на Тимирязева-Байзакова

Сильное ДТП произошло в Алматы на Тимирязева-Байзакова

NoComment (c) Официальный слоган EuroNews. Катастрофа на алматинской утренней трассе началась с того, что водители «Ниссана» и микровена ожидали сигнала светофора на запад по Тимирязева...
ibestreporter
17 янв. 2017 / 22:52
  • 3942
  • 5
Вейпинг безопасен? Эндрю Холл из США тоже так считал, пока что-то не пошло не так

Вейпинг безопасен? Эндрю Холл из США тоже так считал, пока что-то не пошло не так

Эндрю Холл из США считал, что вейпинг безопасен и усиленно убеждал в этом близких. Но как-то раз что-то пошло не так. Это результат взрыва хипстерского устройства - выбило 7 зубов + ожоги и раны...
Maxambet
17 янв. 2017 / 16:28
  • 4046
  • 52
Это поколение просрет страну. 20-летняя молодежь представляет из себя сказочных эльфов

Это поколение просрет страну. 20-летняя молодежь представляет из себя сказочных эльфов

Смотря в очередные пустые глаза вчерашнего студента, приходящего устраиваться на первую работу страшно становится. Потому что сравниваю с теми же китайскими студентами, которые готовы выгрызать себе мечту.
mbaitykov
18 янв. 2017 / 11:34
Становится хуже, но как-то постепенно. Беднеем, но тоже как-то не разом

Становится хуже, но как-то постепенно. Беднеем, но тоже как-то не разом

Помню, когда я уезжал и Казахстана, тут было довольно прилично, даже не смотря на то, что жить было невыносимо. Но прилично так. Мусора было меньше. Дороги чистили, вони почти не было. Да и в остальном тоже норм.
shootnix
18 янв. 2017 / 12:49
  • 3811
  • 35
Любимый Тайланд. Правящий король называет Паттайю «черным пятном на репутации страны»

Любимый Тайланд. Правящий король называет Паттайю «черным пятном на репутации страны»

Тайланд мы впервые посетили в декабре 2012 года. Полученные эмоции настолько были яркими, что в конце 2015 года мы решили еще разок слетать в Тайланд. Вспоминая Тай, первое о чем я думаю - горячий...
zhainar_d
17 янв. 2017 / 11:11
  • 3861
  • 25
Разрубить сирийский узел. Казахстан как миротворец сделает невозможное?

Разрубить сирийский узел. Казахстан как миротворец сделает невозможное?

Только что в Астане начались межсирийские переговоры. Событие это примечательно не столько содержанием и ожидаемыми результатами, а самим фактом.
openqazaqstan
вчера / 13:35
  • 2924
  • 10