Woher weiß man so genau das ILIKE verwendet wird und Passwörter direkt gespeichert werden? Und wie kommt der CCC überhaupt erst darauf das bei so einem unbekannten Dienst zu versuchen?
Das lässt doch eher die Vermutung afkommen als ob es da hinweise von internen gab. Und die Sicherheitslücken waren dann Chef-Anweisung um den Dienst für die Kundschaft geschmeidiger zu machen, was dem Entwickler aber nicht gepasst hat :)
Vielleicht durch SQL Injection?
Ich weiß ja nicht was für eine Datenbank dahintersteckt, aber bei Oracle kann ich sogenannte PSQL Anweisungen in der DB Speichern und über meine Software direkt ansprechen... und auch auslesen. An sich lagere ich einfach Programmcode in die Datenbank aus und das kann jeder einsehen da der Code ja nicht unbedingt geparsed oder Übersetzt wurde in Bytecode.
Oder die Jungs haben das Adminkennwort mit einer FTP Anmeldung oder WebDAV versucht und hatten erfolg. Oder es ist wie bei Blizzards WoW Anmeldung, da zählt auch keine Groß und Kleinschreibung. Die Passwort "qwertZ" und "qwertz" sind mittels ilike gleich, von daher könnte man das auch erraten.
Nachtrag:
PLSQL´s heißen in Mysql nur Stored Procedures und machen das selbe, also wäre es möglich via SQL Injection auch diese Prozeduren anzuzeigen.
Und ich hab mich vertippt seh ich gerade, da fehlt ein L bei PLSQL in meinen vorherigen Post ;)
LordPinhead schrieb:
--------------------------------------------------------------------------------
> Vielleicht durch SQL Injection?
>
> Ich weiß ja nicht was für eine Datenbank dahintersteckt, aber bei Oracle
> kann ich sogenannte PSQL Anweisungen in der DB Speichern und über meine
> Software direkt ansprechen... und auch auslesen. An sich lagere ich einfach
> Programmcode in die Datenbank aus und das kann jeder einsehen da der Code
> ja nicht unbedingt geparsed oder Übersetzt wurde in Bytecode.
Klar, das geht durchaus, aber dürfte für jemanden der so grundlegende Fehler begeht eigentlich zu Fortgeschritten sein.
> Oder die Jungs haben das Adminkennwort mit einer FTP Anmeldung oder WebDAV
> versucht und hatten erfolg.
Ja, denkbar. Wäre dann aber noch arm^h^h^h^h^h^peinlicher.
> Oder es ist wie bei Blizzards WoW Anmeldung, da
> zählt auch keine Groß und Kleinschreibung. Die Passwort "qwertZ" und
> "qwertz" sind mittels ilike gleich, von daher könnte man das auch erraten.
Blizzard wird hier aber so kompetent sein einfach alle Passwörter *vorher* umzuwandeln und dann den Hash der kleingeschriebenen Wörter vergleichen.
Bei solchen krassen Sicherheitslücken würde es mich nicht wundern, wenn Fehlermeldungen nicht abgefangen werden und dadurch bei bestimmten provozierten Fehlern SQLCode-Schnippsel auf die Oberfläche durchblubbern.
MFG
spYro_
Kommentare: 170 | letzter Beitrag 15:54 Uhr
Kommentare: 94 | letzter Beitrag 26.05. 19:45
Kommentare: 69 | letzter Beitrag 18:02 Uhr
Kommentare: 69 | letzter Beitrag 17:31 Uhr
Kommentare: 57 | letzter Beitrag 17:52 Uhr
E-Mail an news@golem.de
Nach der Urteilsverkündung im Rechtsstreit zwischen Youtube und Gema fühlten sich beide Seiten als Gewinner. In Wahrheit gibt es aber nur einen Verlierer, bloggt Medienrechtsexperte Thomas Hoeren: die Gema.
Ein soziales Netzwerk für Pornografie muss seine Marke nicht an Facebook übergeben. Faceporn, ein norwegisches Unternehmen, freut sich über den Sieg vor einem kalifornischen Gericht.
Diablo 3 ist toll, sagen viele Spieler - Diablo 3 ist eine Stimulus-Response-Maschine, sagt Rainer Sigl. Der Blogger und leidenschaftliche Gamer erklärt, warum er sich Blizzards jüngstem Werk verweigert.
Renesas ist nach Elpida der zweite schwer angeschlagene japanische Chiphersteller. Renesas, das Hitachi, Mitsubishi Electric und NEC gehört, macht Verlust und will seine größte Fabrik verkaufen.
RIM soll in den kommenden Tagen erneut einen massiven Stellenabbau ankündigen. "Ich habe herausgefunden, welche Teile ich in meinem Puzzle nicht mehr benötige", sagte Firmenchef Thorsten Heins.
Ein britisches Blog will erfahren haben, dass Facebook den norwegischen Browserhersteller Opera Software kaufen will. Beide Unternehmen wollen sich dazu nicht äußern.