MySQL.com和Sun.com到底是如何被黑的?

【51CTO 3月30日外电头条】28日早上,甲骨文的许多人面红耳赤,原因是甲骨文旗下的两个网站:MySQL.com和Sun.com在上周末被经验极其老道的亦正亦邪的罗马尼亚黑客TinKode和搭档Ne0h攻破了。(可参阅《MySQL.com被SQL注入攻击 用户密码数据被公布》)这两个网站是一种来源尚未明确的SQL盲注攻击手法的受害者--你以为,MySQL的开发人员和管理员们完全知道如何防范这种类型的攻击。很显然,你想错了。498)this.w
idth=498;' onmousewheel = 'javascript:return big(this)' style="WIDTH: 265px; HEIGHT: 203px" border=0 alt=MySQL.com和Sun.com到底是如何被黑的? src="http://images.51cto.com/files/uploadimg/20110330/0926030.jpg" width=500 height=445>498)this.width=498;' onmousewheel = 'javascript:return big(this)' style="WIDTH: 242px; HEIGHT: 199px" border=0 alt=MySQL.com和Sun.com到底是如何被黑的? src="http://images.51cto.com/files/uploadimg/20110330/0926031.jpg" width=1006 height=631>热文推荐:对搜狐、网易和TOM三大门户网站的SQL注入漏洞检测检测在线数据库SQL注入漏洞的利器:HP Scrawlr下面是具体的
经过:星期天一大早,Jackh4xor安全组织向Full Disclosure(全面披露)
邮件列表发去一封邮件,解释MySQL.com"很容易遭到SQL盲注攻击漏洞的袭击。"该邮件将MySQL.com客户浏览页面列为是目标网站。有人从MySQL.com网站窃取了一批数量惊人的数据库、表和字段,还有一小部分的用户名和密码,它们
有的采用加密形式,有的没有加密。此后不久,声称来自罗马尼亚Slacker.Ro的TinKode和Ne0h的一份冗长的列表出现在了Pastebin网站上。TinKode(或者更准确地说,是打着TinKode名号的那个人)曾先后闯入了美国陆军网站、Eset、美国宇航局、英国国防部、路透社及其他知名机构的网站。TinKode还称Jackh4x0r是"我们的朋友";他声称,他和Ne0h在今年1月发现了这个安全漏洞。TinKode的列表包括几个关键的用户名,如"sys"和"sysadmin",还包括它们被破解的相应密码--最可能是使用彩虹表(rainbow table),从加密的密码中提取出来的。Sys(系统)的密码是"phorum5";sysadmin(系统管理员)的密码是"qa."。显然,一些网站管理员不想为使用
复杂的密码而操心。MySQL.com网站包括几个WordPress博客(WordPress在MySQL上运行),TinKode和Ne0h都极其友善,把其中许多博客的ID和密码告诉给了全世界。前任MySQL项目管理主管(他在
2009年以后就没有更新过其博客)的用户名为"admin",密码是"6661"。前任社区关系副总裁(他在2010年1月以后就没有写过博文)
同样采用了"admin"的用户名,相应的密码是"grankulla"。我觉得,公司头头们都不愿使用复杂的密码。 (
编者注:话说网站密码的记忆
的确是个大问题,如果不愿自己记密码,借助一些工具也不错。参考文章《1Password密码管理器使用指南》、《自己都不记得的密码 才是惟一安全的密码》)值得一提的是,MySQL并不是因密码被窃取或被猜出而中黑手的。TinKode和Ne0h采用SQL盲注攻击手法,就攻破了该网站,他们针对的目标是接口,而不是数据库。TinKode还声称控制了MySQL.fr、MySQL.it、jp.MySQL.com和MySQL.de这四个网站。TinKode对于黑掉Sun.com过程的描述似乎平淡无奇,只借助一份窃取来的表和字段,还有少数几个电子邮件地址,但根本没用到密码。至于他们是没有找到密码、根本就是不要密码,还是说将密码藏着掖着准备搞更邪恶的事,并不清楚。Sun.com是不是因MySQL.com遭到的
同一种注入攻击手法而被攻破也不清楚。谁监管监管者?这年头,还真不好说。文章来源:http://www.infoworld.com/t/hacking/analysis-how-mysqlcom-and-suncom-got-hacked-909【51CTO.com独家译稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】

时间: 2024-10-23 18:09:25

MySQL.com和Sun.com到底是如何被黑的?的相关文章

mysql VARCHAR的最大长度到底是多少_Mysql

以前一直都认为有两个字节来记录长度(长度小也可以用一个字节记录),所以这个问题当时觉得就挺无聊的不过后来群里有人给了解释,突然才发现原来事情不是这么简单 MYSQL COMPACT格式,每条记录有一个字节来表示NULL字段分布,如果表中有字段允许为空,则最大只能定到65532,如果没有字段允许为空,则那个字节可以节省,最大可以定义到65533,不知道是不是这个原因 于是上网看了些资料,又在本地做了些实验,原来vachar的最大长度真的是不定的(根据是否有非空字段来决定) 在本地做了下实验,inn

从2份专利文件,一窥Amazon Go到底藏了什么黑科技?

今天的Amazon Go刷爆了国内外的社交媒体. Amazon Go令人惊艳的地方,就是你可以径直走进超市,选好货品之后立马离开,不用在收银台前排长长的队伍,等待结账. 甚至还莫名有一种从商店"抢劫"的快感. 我们说,移动支付颠覆了既有商品交易方式,那么这种"抢劫式"的Amazon Go甚至连"交易感"都消灭了. 总之,人们被这种新奇的似乎隐含了某种黑科技的新型购物方式所吸引.不仅是普通人,就连斯坦福教授李飞飞.著名科技出版公司O'reilly创

Sun推出针对MySQL的新系统和存储解决方案

 11月5日,Sun Microsystems公司发布了针对MySQL的新的Sun系统产品 (Sun Systems for MySQL),这是一套专门用于快速改变Web服务提供的经济效果的解决方案,让企业客户将基于MySQL的Web基础应用部署到Sun服务器上.该系统产品已经得到客户确认和部署,并表明,性能的改善高达300%,功耗减少83%,性价比提高了10倍,且拥有更高的系统可靠性,可更快推向市场.新的解决方案将MySQL与Sun的其他创新产品整合在一起,使客户可以通过Sun开放软件.广泛的

MySQL索引到底支持多少字节?

那么我们来看一下MySQL varchar类型的索引到底能盛多少字节的东西. MySQL的varchar索引只支持不超过768个字节  atin1 = 1 byte = 1 characteruft8 = 3 byte = 1 charactergbk = 2 byte = 1 character 如果是GBK,也就是双字节,那么这个索引能盛768/2=384字节. 如果创建一个大字段的索引的时候就需要注意这些,否则就会报错,如下: mysql> create index sql_q on sl

浅谈MySQL和mariadb区别_mariadb

MariaDB是MySQL源代码的一个分支,在意识到Oracle会对MySQL许可做什么后分离了出来(MySQL先后被Sun.Oracle收购).除了作为一个Mysql的"向下替代品",MariaDB包括的一些新特性使它优于MySQL. 这两个数据库究竟有什么本质的区别,我看mariadb文件夹BIN中还是mysql*.exe,除了MySQL会被ORACLE闭源外,而mariadb则开源,他俩之间到底还有什么本质区别没有? 区别一: MariaDB不仅仅是Mysql的一个替代品,它的主

MySQL在web领域面临NoSQL的挑战

仅仅几年前,MySQL还是开源数据库领域公认的王者,但是随着NoSQL以82%的年复合增长率狂飙,MySQL在web应用市场正面临被NoSQL淘汰的危险. 向NoSQL的迁移不但成为IT业发展趋势的一个注脚,还让人们领略了开源驱动的产业创新正如疾风骤雨般来临. 这一切与Oracle对MySQL的管理无关,实际上,Oracle对MySQL可谓尽心尽力,投入大量资源改进技术,培养社区.正如451 Research的的研究经理Matthew Aslett所言:"MySQL生态系统比过去更加健康和富有活

WatchStor观察:EMC应该收购Sun吗?

    [WatchStor独家译文]我们身处的世界从来没有一成不变过.现在,我们正在经历一段残酷的动荡时期.同样,高新技术产业也在经历痛苦的改变.在恶劣的经济环境下,他们中的一部分可能比别人面临着更加艰难的局面. Sun公司最近宣布将裁员6000人,或者15%至18%.该公司希望其重组计划每年能为其节省7到8亿美元.这一举措是否能让Sun坚持到底?还是将公司出售会更好呢? 问题:X86大环境下 UltraSPARC处境堪忧 问题之一是,在Sun公司持续下滑的同时,其UltraSPARC系列芯片

【2017DTC精彩重现】Oracle和MySQL DBA的进阶之路

分享的初衷 这个是参考了朱赟[yūn]的一段话,我觉得已经很透彻形象了,毕竟在短短的几十分钟里,你只能得到一些思想上的建议和思路,落到实处还是得靠自己.而参考和借鉴的过程也是自己修行的过程.第二句我关于坚持,有的同学说坚持是习惯,有的说是毅力,本质上来说,还是坚持的态度,是坚持做一件事情,还是坚持把一件事情做好,两者听起来相似,实则有很大的差别. 分享思路 我分了几个层面来做了一些解读.在本文中会抽取重点列出一些来. Oracle和MySQL的学习周期 其实正如我开篇所说,目前国内的使用有两个比

Oracle为什么不会干掉MySQL

曾经有人推断Oracle通过收购SUN进而取得近年表现得越来越勇的开源数据库MySQL,从而可以顺理成章地将其处死,但MySQL的前任首席执行官Mårten Mickos却有不同的看法,相反Oracle急需MySQL. Oracle首席执行官拉里埃利森可能会成为开源的朋友,因为MySQL可以用来对付Oracle的长期敌人微软.SUN去年以10亿美元的价格收购 了MySQL,传言Oracle也是其中的投标人,不过现在Oracle却从SUN手中明显捡了个便宜(除了现金和债务外,Oracle只给了SU