นักวิจัยด้านความปลอกภัยชื่อว่า Ebrahim Hegazy จากประเทศ อียิปต์ พบช่องโหว่ SQL injection บนเว็บเอพพลิเคชั่นของ Yahoo ซึ่งสามารถทำให้แฮกเกอร์โจมตีจากระยะไกล (Remote Code Execution) ส่งผลทำให้แฮกเกอร์เข้าถึงฐานข้อมูลได้
จากรายงานกล่าวว่าแฮกเกอร์พยายามที่จะป้อนข้อมูล “f_id” เข้าไปยังพารามิเตอร์ในเว็บไซต์ที่ตกเป็นเป้าหมาย เพื่อทำการเข้าถึงฐานข้อมูล พบว่า ชื่อผู้ใช้และรหัสผ่านถูกเข้ารหัสแบบ encoded as Base64 แฮกเกอร์ก็ทำการถอดรหัสจนทำให้สามารถ เข้าสู่ระบบสำเร็จ
นอกจากโจมตีแบบ SQL injection แล้วยังโจมตีแบบ Remote Code Execution เข้าไปเพื่อยกเลิกการเข้าถึงในสิทธิ์ ROOT บนเซิร์ฟเวอร์
Ebrahim Hegazy ได้ชี้แจ้งเรื่องช่องโหว่ไปยัง Yahoo โดย Yahoo ได้ทำการแก้ไขช่องโหว่ในเวลาต่อมา แต่ทาง Yahoo ไม่ได้ให้เงินรางวัลเพราะว่า ไม่ได้เป็นโดเมนหลักของทาง Yahoo
ที่มา : thehackernews
Leave a comment!
You must be logged in to post a comment.