Atacado el web de Microsoft en Reino Unido

 

 

Enviado por admin el 29 Junio 2007 - 11:41am

Según informa Zone-H, el sitio web microsoft.co.uk ha sufrido un ataque desde Arabia Saudí que ha logrado modificar el aspecto de alguna de sus páginas.

Al parecer se ha empleado una vulnerabilidad XSS junto a inyección SQL. El atacante incluso ha publicado un par de vídeos mostrando algunos detalles del ataque.

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
anónimo's picture

Solo una puntualización ...

Enviado por anónimo el 1 Julio 2007 - 10:13am.

Una vulnerabilidad XSS es un ataque pasivo del lado del cliente, un SQL Injection es un ataque activo del lado del servidor.

Únicamente, en el caso de que fuera necesaria una cuenta autenticada para realizar la inyección de SQL, sería factible que hubiera un XSS inicial sobre un usuario autenticado, con el que robar su sesión, y poder realizar el ataque.

En este caso, aunque el parámetro vulnerable lo fuera a XSS y a SQL injection, la explotación se realizó, directamente, inyectando SQL en la BBDD y cambiando la URL sobre la que se cargaba el fichero CSS de la web.