Arabische hackers defacen Microsoft website
Twee maanden na de kraak van ieak.microsoft.com zijn hackers er weer in geslaagd om een website van Microsoft te hacken en defacen. Dit keer was de website van Microsoft Engeland, Microsoft.co.uk, aan de beurt. De Saoedische aanvaller "rEmOtEr" wist via SQL injectie de HTML code in een veld te plaatsen dat elke keer wordt gelezen als de server een nieuwe pagina genereert. Op nieuwe pagina's verschenen verschillende foto's en afbeeldingen van de Saoedische vlag. Microsoft beveiligingsadviseur Roger Halbheer noemde het onfortuinlijk dat de pagina gehackt was, maar liet weten dat het probleem inmiddels verholpen is.
De SQL injectie had volgens de Microsoft beveiliger voorkomen kunnen worden door de database geen foutmeldingen te laten teruggeven of de webapplicatie de door de hacker ingevoerde URL laten valideren. De aanvaller heeft inmiddels ook een filmpje online gezet waarop te zien is hoe hij gebruikersnamen en wachtwoorden van Microsoft's database weet te stelen. (Zone-H)
Lekker kortzichtig vriend, plaats dan geen commentaar, zinloos MS bashen
kan iedereen, of het gegrond is, is een 2de.
de GET!!! en niet eens de invoer checken, dat weet toch elke
webmaster? get is zo wie zo al slecht.. maar om nou SQL
updates enzo VIA GET TE DOEN! dat is wel heel slecht!
nieuws is geworden.. (no flame intended richting security.nl, alle digi-sites
zijn hier 'laat' mee.... vreemd)
Alleen Microsoft stoot zich 200 keer aan de zelfde steen!
Overigens, de filmples zijn perfecte tutorials over SQL
injectie.
Niet alleen hun software maar ook hun websites zijn
brak.
http://retecool.com/
http://volkomenkut.com/
Heb ook last van een trojan infectie
js/ tivso.14a. gen trojan
Staan er ook ooit mensen bij stil dat MS honderden, al dan niet duizenden
verschillende sites en databases heeft, en echt wel meer dan 1
webmaster? Hoe groot is dan de kans dat er 1 daarvan een randdebiel is
die nooit van veilig programmeren gehoord heeft? Het gaat hier om een
aanvraag voor een of ander demo ding. Zou het eventueel kunnen dat dit
voor degene die dit zeer slecht heeft ontworpen, misschien ook zo een
vrijdagnammidag-taak was? Waar de baas ineens mee af komt, en toch
wel heel erg dringend af moet?
Dit is een zware fout van enkele personen. Ten eerste de programmeur die
blijkbaar dringend aan hescholing toe is. Ten tweede zijn overste om zijn
werk niet te laten valideren, en ten derde misschien de interne procedures
van dat ene deel van MS wat zo een flater toe laat.
Altijd maar dat bashen. Dit is een zware fout ja, maar dan ook in een bedrijf
met honderdduizenden werknemers. Wie kan nu verwachten dat die
allemaal zomaar perfect zijn?
Dit is een fout ja, maar dat er hier toch telkens weer puisterige nerds vanaf
hun Firefox browser hun ongenoegen over MS moeten kunnen spuien,
gewoonweg omdat ze zelf hun frustratie en onkunde om niet van straat te
kunnen geraken dan maar op een andere manier kwijt moeten.
Get a job. Je zal er rap genoeg achterkomen dat er zaken zoals deadlines
bestaan, en bazen die eisen dat iets rap en dringend af moet, en dat daar
soms opofferingen op gebied van security voor gebeuren. Dit gebeurd niet
ALLEEN bij MS, dit is dagdagelijkse werkelijkheid in bijna elk gezond
bedrijf.
/end bash mode
En daarbuiten gelaten, vond ik het idd wel een heel erg grappige flater
Het is gewoon triest dat iemand die de software maakt voor
microsoft.co.uk niet eens weet wat een fucking SQL injection
is...
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.