Vino si tu pe pagina de Facebook pentru o stire de stiinta, explicata simplu, in fiecare zi!
Pagina de Facebook!
În fiecare zi, o nouă fotografie din universul nostru fascinant împreună cu o explicaţie scrisă de către un astronom profesionist: Astronomy Picture Of the Day
   
Fizica Povestita

I
Fizica Povestita

NASA din nou in atentia hackerilor

Autor: 75

Desi de-a lungul timpului serverele NASA au fost o tinta favorita a hackerilor, se pare ca inginerii de sistem ai NASA nu se invata minte nici acum. Prin multitudinea de subdomenii nasa.gov, exista si acum site-uri nesecurizate.             Despre ce este vorba ?             Unul dintre subdomeniile nasa.gov (mai precis http://pds.jpl.nasa.gov) este vulnerabil la atacuri cybernetice. PDS (The Planetary Data system) este o arhiva de date cu misiunile planetare NASA, sponsorizata de Directoratul pentru Misiuni Stiintifice al NASA. Aceste arhiva este o resursa esentiala pentru multi oameni de stiinta din intreaga lume.            Subdomeniul http://pds.jpl.nasa.gov este vulnerabil la atacuri de tip SQL injection si XSS (Cross Site Scripting). Astfel, folosind metoda SQLI un hacker poate extrage toata baza de date din cartea de telefon (PDS Phone book). Desi majoritatea datelor sunt publice, exista anumite date cu caracter sensibil care pot fi extrase iar apoi folosite de hackeri (vandute sau extragere de date importante). Insa aceasta metoda folosita, este la limita legii, intrucat daca atacatorul nu modifica continutul site-ului nu poate fi acuzat. Nu este ilegal sa folosesti caractere intr-un browser sau mai bine spus nu impune nimeni ce tip de caractere ai voie sa folosesti intr-un site.A NU SE PUBLICA !« http://pds.jpl.nasa.gov/tools/phonebook/phonebook.cfm?pdsonly=0&searchCriteria=everyone&order=%27&urlnode=0 «             A doua metoda folosita XSS (Cross Site Scripting) permite atacatorului sa insereze scripturi in paginile web ale PDS si sa extraga cookie-urile unui utilizator. Astfel, daca un utilizator acceseaza un link inserat de hacker, acesta risca sa-si trimita toate datele personale catre atacator. Desigur ca situatia este doar « probabila », dar majoritatea userilor isi deschid direct din casutele de email link-urile si risca astfel sa-si trimita datele personale.A NU SE PUBLICA !http://pds.jpl.nasa.gov/tools/subscription_service/top.cfm?CFID=506492&CFTOKEN=46089066&sErrorMsg=rst@altul%3Cscript%3Ealert(/altul/)%3C/script%3E             Folosind aceste doua metode atacatorul poate injecta intr-un Header de email un link care contine un script ce extrage datele personale ale victimei.A NU SE PUBLICA !« http://pds.jpl.nasa.gov/tools/subscription_service/sm_new_subscriber.cfm » Set your injection text to email=%…xxx..% or else             Asadar, ideea atacului este :

  1. 1. Se obtin datele userilor din baza de date ale Planetary data system.
  2. 2. Se trimite mail de la un user “credibil – extras din baza de date” cu un link in header.
  3. 3. Acesta primeste e-mailul, vede ca e de la un cunoscut si acceseaza link-ul cu riscul major de a-si furniza date personale.

 Din pacate aceste atacuri sunt destul de obisnuite si se cunosc foarte bine in lumea administratorilor de retele si Web, dar probabil din comoditate sau din lipsa de fonduri nu se i-au masuri care sa elimine aceste brese de securitate.  

111

(eventual il mai "cosmetizati" voi)

Abonează-te la newletter:

Caută în site



Formular de contact

Advertisment ad adsense adlogger