Yahoo! выпустила внеочередные обновления безопасности

image

Теги: уязвимости web-приложений

Недавно обнаруженные уязвимости позволяли удаленно скомпрометировать базу данных и сервер сайта.

Не так давно в продуктах компании Yahoo! были обнаружены опасные уязвимости web-приложений, с помощью которых потенциальные злоумышленники могли удаленно скомпрометировать базу данных и сервер целевого web-сайта. Речь идет об SQL-инъекции, обнаруженной исследователем безопасности из Египта Ибрагимом Хегази (Ebrahim Hegazy).

Как следует из личного блога эксперта, уязвимость размещалась на одном из доменов Yahoo! - innovationjockeys.net - и существовала из-за неверной обработки входных данных в параметре «f_id». С ее помощью эксперту удалось извлечь базу данных сервера, а уже в ней обнаружить зашифрованные логин и пароль для авторизации в административной панели.

Опасная брешь была устранена в течение первых суток после того, как Хегази связался с администраторами уязвимого домена. Вместе с тем, какой-либо премии исследователь не получит, поскольку упомянутый домен не входит в перечень web-сайтов Yahoo!, участвующих в программе выплаты вознаграждений.

Ознакомиться с отчетом Хегази можно здесь

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus