Místo Windows saúdskoarabská vlajka. Microsoft napaden hackerem

  10:09aktualizováno  10:09
Hacker úspěšně napadl stránky společnosti Microsoft. Místo standardního obsahu se na britských stránkách firmy objevilo malé dítě mávající saudskoarabskou vlajkou. Videovzkaz hackera ke stažení.

Výsledek hackerova útoku na stránky Microsoftu

Podle Rogera Halbheera, hlavního bezpečnostního poradce Microsoftu pro Evropu, Střední východ a Afriku, byla díra, jíž útočník využil, už opravena. Hacker, který se pod svou práci podepsal jako „rEmOtEr“, zaútočil oblíbenou technikou, jíž se říká SQL injection.

Při tomto vcelku jednoduchém útoku útočník podstrkává webové aplikaci postavené na dynamickém skriptovacím jazyku a komunikující s databází SQL příkazy pomocí formulářů na daném webu.

Co všechno dokáže útok SQL injection

Pokud webová aplikace není dostatečně zabezpečená, hacker pak může spustit jakýkoliv SQL příkaz, třeba INSERT, DELETE nebo DROP TABLE.

Najde-li tedy v systému chybu, může se chovat tak, jako by byl administrátor stránek, a může na ně přidávat, co se mu zamane. Navíc může ukrást důležitá data či smazat obsah databáze.

Co všechno si může hacker dovolit, záleží na nastavení databáze, ale v podstatě na základě chybových hlášení, která se mu vrátí, může odhadnout, jak je databáze strukturována, a od toho odvíjet další útok. V případě stránek Microsoftu útočník nakonec našel způsob, jak databázi přinutit spolupracovat, a vložil do ní odkaz na externí stránku. Výsledek vidíte na obrázku.

Výsledek hackerova útoku na stránky Microsoftu

Podle Halbheera mohl Microsoft předejít útoku dvěma způsoby. Zaprvé by databáze neměla vracet chybová hlášení, zadruhé by webová aplikace měla ověřit a zamítnout externí URL, kterou hacker vložil do databáze.

Podívejte se na hackerův vzkaz. Stáhnout si jej můžete zde.

Témata: hacker, Microsoft

Nejčtenější

Alza to zase zkouší. Zákazníkům do košíku „tajně“ přihodí nechtěné věci

Stačí chvilka nepozornosti a obchod vám do košíku přidá něco, co jste si...

Před odesláním objednávky v e-shopu si dobře zkontrolujte obsah košíku. Je možné, že vám tam bez vašeho vědomí něco...

Alza dostala pokutu za přidávání zboží do košíku. A není jediná

Česká obchodní inspekce pravomocně rozhodla o udělení pokuty pro společnost...

Společnost Alza.cz bude muset zaplatit 150 tisíc korun za to, že zákazníkům přidávala do košíku zboží, na které sami...

Známe tvář mrtvé dívky z obleženého Tábora. Kdy zemřela, napověděla mince

Zrekonstruovaná podoba dívky (18 až 19 let) nalezené ve společném hrobě v...

Téměř 400 let ležela v zapomenutém společném hrobě, než její pozůstatky při stavbě rodinného bazénu náhodou objevili. V...

Vyzkoušeli jsme nejlepší způsob, jak sledovat televizi. Poradíme i vám

Test set-top-boxů pro televizi přes internet

Nezajímá vás kdy pořad jde, ani kolik je v něm reklam. Pustíte si jej kdykoli během i po odvysílání a reklamní bloky...

Poslechněte si vítr na Marsu. Je to první nahrávka zvuku z této planety

Jak zni vitr na Marsu

Sonda InSight, která na konci listopadu přistála na Marsu, poslala vůbec první nahrávku zvuku z této planety.

Další z rubriky

Neuvěřitelný článek? Skandál? Možná jste naletěli na satiru. Jako my

Na satirický článek může nalétnout kdokoli...

Co je pro jednoho očividný vtip a povedená satira, může být pro druhého věrohodný článek. Stačí, když zapadá do...

Čína blokuje i účty, z nichž se údajně za peníze „trolí“ diskuze

Internet v Číně

Čínská policie letos zablokovala 1 100 účtů na sociálních sítích a 31 webových stránek z důvodu nelegální činnosti...

Tipy na weby: speciální adventní kalendář pro děti či elfské videopřání

Dečko.českátelevize.cz/advent

Děti milují adventní kalendáře. Jeden interaktivní se otevřel na internetových stránkách dětského kanálu Déčko. Dospělí...

Najdete na iDNES.cz