Yahoo! Contributors Network (contributor.yahoo.com) เครือข่ายของผู้เขียนที่สร้างเนื้อหา เช่น ภาพถ่าย, วิดีโอ, บทความและความรู้ของพวกเขากว่า 600 ล้านคนต่อเดือน เสี่ยงที่จะมีช่องโหว่ SQL Injection
Behrouz Sadeghipour นักวิจัยด้านความปลอดภัยรายงานช่องโหว่ SQL Injection ในเว็บไซต์ Yahoo โดยแฮกเกอร์จะขโมยฐานข้อมูลของผู้ใช้และผู้เขียน รวมถึงข้อมูลส่วนบุคคลของพวกเขา
นักวิจัยได้รายงานช่องโหว่นี้ให้กับทีมรักษาความปลอดภัยของ Yahoo และทางทีมงานได้แพตซ์ช่องโหว่ดังกล่าวแล้ว แต่น่าเสียดายหลังจากนั้น Yahoo ได้ประกาศจะปิด "Yahoo Contributors Network" เนื่องจากความนิยมที่ลดลงและลบเนื้อหาทั้งหมดจากเว็บ ยกเว้นบางส่วนที่ให้เช่าเนื้อหาอาจจะยังคงอยู่บนเว็บ
ช่องโหว่ใน URL/ไฟล์ดังต่อไปนี้:
• http://contributor.yahoo.com/forum/search/?
• http://contributor.yahoo.com//library/payments/data-table/?
นักวิจัยยังกล่าวอีกว่า ช่องโหว่ดังกล่าวจะอนุญาตให้ผู้โจมตีระยะไกลสามารถ inject คำสั่ง SQL เพื่อทำลายฐานข้อมูลของ URL และเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ได้
ที่มา : thehackernews
Leave a comment!
You must be logged in to post a comment.