Asaf Orpani นักวิจัยด้านความปลอดภัยจาก Trustwave SpiderLabs พบช่องโหว่ SQL Injection บน Joomla เวอร์ชั่น 3.2 ที่ปล่อยให้ดาวน์โหลดตั้งแต่เดือนพฤศจิกายนปี 2013 ถึงเวอร์ชั่น 3.4.4
ช่องโหว่ดังกล่าวอนุญาตให้ผู้ที่ไม่ประสงค์ดีสามารถยกระดับสิทธิ์ของตัวเองเป็นผู้ดูแลเว็บไซต์ได้อย่างเต็มรูปแบบ
ช่องโหว่นี้ถูกค้นพบในไฟล์ /administrator/components/com_contenthistory/models/history.
Gaana.com เว็บไซต์บริการฟังเพลงออนไลน์ที่ได้รับความนิยมของประเทศอินเดียถูกแฮกโดยแฮกเกอร์ชาวปากีสถาน
มีผลกระทบทำให้บัญชีผู้ใช้มากกว่า 10 ล้านบัญชี ซึ่งประกอบไปด้วย ชื่อผู้ใช้, อีเมล์, password ที่เข้ารหัส md5, ข้อมูลวันเกิด และข้อมูลส่วนตัวต่างๆ ถูกขโมยออกไปจากฐานข้อมูล
ช่องโหว่ที่ทำให้เว็บไซต์ Gaana.
Yahoo! Contributors Network (contributor.yahoo.com) เครือข่ายของผู้เขียนที่สร้างเนื้อหา เช่น ภาพถ่าย, วิดีโอ, บทความและความรู้ของพวกเขากว่า 600 ล้านคนต่อเดือน เสี่ยงที่จะมีช่องโหว่ SQL Injection
นักวิจัยด้านความปลอกภัยชื่อว่า Ebrahim Hegazy จากประเทศ อียิปต์ พบช่องโหว่ SQL injection บนเว็บเอพพลิเคชั่นของ Yahoo ซึ่งสามารถทำให้แฮกเกอร์โจมตีจากระยะไกล (Remote Code Execution) ส่งผลทำให้แฮกเกอร์เข้าถึงฐานข้อมูลได้
จากรายงานกล่าวว่าแฮกเกอร์พยายามที่จะป้อนข้อมูล “f_id” เข้าไปยังพารามิเตอร์ในเว็บไซต์ที่ตกเป็นเป้าหมาย เพื่อทำการเข้าถึงฐานข้อมูล พบว่า ชื่อผู้ใช้และรหัสผ่านถูกเข้ารหัสแบบ encoded as Base64 แฮกเกอร์ก็ทำการถอดรหัสจนทำให้สามารถ เข้าสู่ระบบสำเร็จ
พบบั๊กร้ายแรงในคำสั่งแบช (bash) ซึ่งเป็นเชลล์พื้นฐานที่อยู่ใน UNIX ทุกรุ่นยันรุ่นล่าสุด 4.3 ทำให้แฮกเกอร์สามารถรันคำสั่งอะไรก็ได้ภายใต้สิทธิ์ที่รันคำสั่ง bash ซึ่งทำให้เว็บไซต์ที่มีการคอนฟิก CGI ไว้เช่น mod_cgi ตกอยู่ในความเสี่ยงทั้งหมด รวมไปถึงบรรดาอุปกรณ์ฝังตัวที่มีหน้าจอบริหารจัดการเป็นเว็บต่างก็โดนหางเลขไปด้วย
นักวิจัยด้านความปลอดภัยชื่อ Brian Krebs ได้ค้นพบบอทเนทชนิดใหม่ที่ชื่อว่า “Advanced Power” โดยบอทเนทตัวนี้จะใช้เครื่องคอมพิวเตอร์ของเราเป็นเครื่องมือในการแพร่กระจายไวรัส หากผู้ใช้มีการใช้งานบราเซอร์ Firefox ในการเข้าถึงเว็บไซต์ต่างๆ มัลแวร์จะอาศัย Add on บน Firefox ที่ชื่อว่า "Microsoft .NET Framework Assistant" เป็นเครื่องมือในการโจมตีเว็บไซต์อื่นๆ ที่ผู้ใช้เข้าถึงด้วยช่องโหว่ SQL injection และยังสามารถขโมยข้อมูลที่สำคัญได้อีกด้วย นักวิจัยกล่าวว่ามีระบบมากกว่า 12,500 ระบบที่ติดไวรัสจากมัลแวร์ดังกล่าวและค้นพบเว็บไซต์อย่างน้อย 1,800 เว็บไซต์ที่เสี่ยงต่อช่องโหว่ SQL Injection
ที่มา : ehackingnews
นักวิจัยด้านความปลอดภัยชื่อ Brian Krebs ได้ค้นพบบอทเนทชนิดใหม่ที่ชื่อว่า “Advanced Power” โดยบอทเนทตัวนี้จะใช้เครื่องคอมพิวเตอร์ของเราเป็นเครื่องมือในการแพร่กระจายไวรัส หากผู้ใช้มีการใช้งานบราเซอร์ Firefox ในการเข้าถึงเว็บไซต์ต่างๆ มัลแวร์จะอาศัย Add on บน Firefox ที่ชื่อว่า "Microsoft .NET Framework Assistant" เป็นเครื่องมือในการโจมตีเว็บไซต์อื่นๆ ที่ผู้ใช้เข้าถึงด้วยช่องโหว่ SQL injection และยังสามารถขโมยข้อมูลที่สำคัญได้อีกด้วย นักวิจัยกล่าวว่ามีระบบมากกว่า 12,500 ระบบที่ติดไวรัสจากมัลแวร์ดังกล่าวและค้นพบเว็บไซต์อย่างน้อย 1,800 เว็บไซต์ที่เสี่ยงต่อช่องโหว่ SQL Injection
ที่มา : ehackingnews
MariaDB มีช่องโหว่ SQL-injection เนื่องจากไม่มีการตรวจจับ quote จากผู้ใช้งาน
โดยผู้โจมตีสามารถยึดระบบแอพพลิชั่น,เข้าถึงหรือแก้ไขข้อมูลหรือโจมตีช่องโหว่ที่แฝงใน database ได้
ที่มา: securityfocus
เว็ปไซต์ MySql.com ถูกแฮกอีกครั้งหนึ่งแล้ว โดยถูกโจมตีด้วยวิธี SQL Injection ด้วยฝีมือของแฮกเกอร์ที่ชื่อว่า "D35M0ND142”
หลังจากเมื่อเดิอนกันยายนที่ผ่านมาเคยถูกโจมตีไปแล้วครั้งหนึ่งและเว็ปไซต์ถูกฝังมัลแวร์เอาไว้
ที่มา: thehackernews