최근 익명의 해커가 Yahoo! Local Neighbors 게시판에서 SQL 인젝션 취약점을 발견했습니다. 취약점을 통해 해커는 관리자나 사용자의 정보를 읽어 낼 수 있으며 서버에 쉘코드(shellcode)도 업로드가 가능합니다.

해커는 "Unu"라는 이름을 이용하여 취약점을 발견했으며 이에 대한 증거로 관련 스크린샷을 함께 공개했습니다.

<그림 #1.  데이터베이스의 스키마 정보가 노출된 화면 >

<그림 #2. root 권한으로 데이터베이스에 연결한 화면>



<그림 #3/4. 개인 정보가 누출된 화면>

<그림 #5. 특정한 파일에 데이터를 업로드하는 화면>

다행이도 이 문제는 야후에게 알려져 모두 패치가 완료된 상태입니다.

크고 유명한 웹사이트라고 해도 보안 취약점은 피해갈 수 없나 봅니다.








reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus

    댓글을 달아 주세요



    Web Analytics Blogs Directory