11月17日,据国外媒体报道,据以色列安全公司Imperva称,雅虎求职网站上个星期发现了一个可能泄露用户数据的严重安全漏洞。它在一个已知的的犯罪论坛中发现有人正在讨论这个安全漏洞。这是一种名为“盲SQL注入”的标准的SQL注入攻击安全漏洞,可能已经泄露了用户的账户细节和支付数据。
这个安全漏洞从理论上说没有直接的SQL注入攻击那样严重,因为这种攻击需要使用精心制作的对目标数据库的SQL查询以获取返回的信息,而不是简单地看到直接的结果。
然而,据Imperva首席技术官Amichai Shulman说,这已经不再是一个障碍了。人们也许会说这种安全漏洞没有那样严重。但是,有许多自动的工具能够利用返回的数据提取整个数据库的信息。
Imperva上个星期四向雅虎报告了这个安全漏洞。雅虎在当天下午就准备好了补丁。Shulman说,这个情况暗示了这个安全漏洞的严重性。雅虎的反应是非常快的。在以前的事件中,雅虎发布补丁需要很长时间。这一次他们非常快。
目前还不可能说雅虎的数据是否已经被人收集了。但是,Shulman怀疑讨论这个安全漏洞的论坛很可能是向其他人销售破解这个安全漏洞的技术的方式。
求职网站是犯罪分子攻击的一个主要目标,因为这种网站吸引了很高的流量。这些攻击采取两种方式,一种是获取网站内部数据库中的数据以得到内在的价值,另一种是利用网站本身托管进一步的攻击。
作者:天虹
网友评论