sql injection

Udany atak SQL injection na stronę MySQL.com

mysql
W niedzielę MySQL stał się ofiarą ataku typu blind SQL injection*. Włamywacze uzyskali dostęp do całej bazy danych obsługującej witrynę mysql.com włączając w to loginy i hashe haseł klientów.

Upublicznione zostały hasła do kont pracowników i blogów na blogs.mysql.com.

Tablica users ujawniła karygodne praktyki stosowane przez firmę:

- brak filtracji (%) po adresie IP dla kont z wysokimi uprawnieniami,
- słabe hasła: 4 cyfry miało hasło członka zarządu,
- stosowanie md5 jako metody hashowania haseł

Realizacja: SIPLEX Studio