www.sonypictures.com жизнь нас ничему не научила!

b4trjan 2014 M03 31
1390
1
2
0

История взлома www.sonypictures.com хакером из Казахстана.

Все мы знаем что есть такая компания SonyPictures, но мало кто знает что в 2011 году сайт данной компании был взломан, что бы освежить память можно прочитать статью на хабре (http://habrahabr.ru/post/120523/).

 

Как это обычно у меня бывает сидишь вечером, не знаешь чем заняться, и тут в голову прокрадывается безумная мысль, "а что если?". А что если попробовать проPentest'ить сайт известный буржуйской компании? Не знаю как я вышел именно на их сайт. Но это уже не важно. Дырку уже залатали и я думаю что о данной ситуации можно рассказывать не опасаясь за последствия.

 

И так, дело было в не далеком октябре 2013-го, взяв на вооружение firefox и sqlmap я отправился искать лазейки. Но, долго искать не пришлось, и если честно это меня даже расстроило, ведь сайт такой крупной компании и так облажаться! Сначала я не верил что вижу на экране эти заветные слова "sql syntax error ..." но поработав с sqlmap я понял что это действительно так! Это была sql-инъекция в POST запросе:

http://www.sonypictures.com/tv/shows/seinfeld/episode_guide/index.php?sl=episode_search

POST:search_keyword=1&search_season=1'

все так банально и просто!

 

И так что же удалось получить эксплуатируя данную sql-инъекцию (опишу только часть данных),

Базы данных

 
[*] auth_tv
[*] beakmans
[*] droz_station
[*] information_schema
[*] KingOfQueens
[*] rescueme
[*] Seinfeld
 

Так же удалось получить доступ к логинам и паролям админов, и мало того что пароли хранились в открытом виде так они еще и были ну очень простыми, тупизм чистой воды!

 

так же на сайте присутствовали несколько XSS, но к сожалению на момент написания статьи скрины не сохранились.

 

Итого: Какой бы крутой компанией Вы не были, каким бы классным программистом Вы себя не считали, не забывайте что скромность удел сильных.  © у кого-то спер:)

 

P.S. Очень часто замечаю что многих жизнь ничему не учит, и даже после громкого взлома в 2011 году, компания Sony не позаботилась о безопасности своих ресурсов.

 

Среди Казахстанских компаний очень мало тех кого заботит собственный имидж и репутация, и в большинстве случаев сообщения о найденных уязвимостях просто игнорируются. Что способствует развитию вирусной активности и мошеннической деятельности.

 

Есть интересные предложения? Пишите :) sys32_89@mail.ru

Оцените пост

2
Дальше