פורום קידום אתרים
ZEFO Efficient SEO Platform - סט כלים מושלם למקדמי אתרים
+ הגב לאשכול זה
מציג תוצאות 1 עד 10 מתוך סך הכל של 10

אשכול: סטודנטים חשפו פירצת אבטחה בגוגל

  1. #1
    משתמש כבד mach77 אינו מוערך במערכת הפורומים
    תאריך הצטרפות
    Apr 2006
    מיקום
    הרצליה
    הודעות
    680

    שלושה סטודנטים גילו פירצת אבטחה שמאפשרת להאקרים לגנוב מידע מאתרי אינטרנט תוך שימוש במנוע גוגל כשליח. פרויקט הגמר שלהם, Badsense, זכה בפרס כספי של אמדוקס


    http://it.themarker.com/tmit/article/8232

  2. #2



    נחמד , אבל לא ברור איך הענין מבוצע. משהו יכול לפרט?


    איך adsense קשורה לענין לא ממש ברור !

  3. #3

    תקראו את המאמר ב themarker תכלס הם לא חשפו כלום.

    קובי


  4. #4
    מכור לפורום YSeo אינו מוערך במערכת הפורומים
    תאריך הצטרפות
    Jul 2008
    הודעות
    1,036



    הם לא חשפו , הם השתמשו בSQL INJECTION כלומר פירצה דרך הDATABASE של האתרים שפירסמו בADSENSE.

  5. #5


    ציטוט פורסם במקור על ידי YSeo

    הם לא חשפו , הם השתמשו בSQL INJECTION כלומר פירצה דרך הDATABASE של האתרים שפירסמו בADSENSE.
    הם לא חשפו , הם השתמשו בSQL INJECTION כלומר פירצה דרך הDATABASE של האתרים שיכולים לפרסם בADSENSE.

    הם יוצאים מנקודת הנחה שאף אחד לא מוגן היום מ SQL INJECTION וברור שזה שטויות

  6. #6
    משתמש מתמיד BuildHome אינו מוערך במערכת הפורומים
    תאריך הצטרפות
    Aug 2009
    הודעות
    248

    על זה עשו כתבה? לפי הכותרת נשמע שהבעיה בגוגל אך לא כך הדבר...
    סרטים חדשים - מאגר סרטים חדשים וישנים, כתוביות סרטים - חדשות וביקורות בתחום סרטים, סדרות וקולנוע.

  7. #7
    מכור לפורום aviho1 אינו מוערך במערכת הפורומים
    תאריך הצטרפות
    Dec 2007
    הודעות
    1,126

    לפי מה שהבנתי הם בעצם עשו sql injection תוך התחזות לשרת של גוגל בשביל שלא יעלו עליהם?


  8. #8

    בין האתר ובין שרתי גוגל מתבצעת תעבורת נתונים במהלכה שרתי גוגל שולחים מידע אל האתר ובו המודעות לפרסום. ניתן להכניס פקודות SQL לתוך התעבורה הזו (או להתחזות לחלק מהתעבורה הזו) באופן שיציג על המסך של התוקף כל מיני נתונים שיושבים בבסיס הנתונים של האתר, לרבות כ.אשראי.

    לא פורט בכתבה כיצד בדיוק מבצעים את ההתקפה וזאת במטרה שלא להפוך מליוני אתרים בעולם לפגיעים.

    עמיחי שולמן הוא ה CTO של חברת אבטחת המידע אימפרבה של שלמה קרמר והוא כנראה מטובי ההאקרים בעולם.

    אימפרבה מייצרת מוצר בשם Secure Sphere המספק הגנה על שרתים ובסיסי נתונים ברמת האפליקציה ומגן מהתקפות כאלו בדיוק.

  9. #9
    מכור לפורום aviho1 אינו מוערך במערכת הפורומים
    תאריך הצטרפות
    Dec 2007
    הודעות
    1,126

    אני לא חושב שיש אינטראקציה כלשהיא בין השרת שמאחסן את האתר לשרתים של גוגל, הרי הקוד של adnsense לאתרים כתוב בjs לכן רץ בצד לקוח, הדפדפן של הלקוח הוא שפונה לשרתים של גוגל ומקבל את המודעות לפרסום..

    מכאן ועד sql injection הדרך ארוכה..



  10. #10

    מה שאתה אומר הוא נכון והגיוני אבל בהסתמך על הידיעה, אני מניח שהם כן הצליחו להריץ שאיתלות SQL על בסיס הנתונים של האתר באיזו שהיא דרך.

    זה החלק הקשה בסיפור. להריץ פקודות של SQL Injection זה לא תורה מסיני (אפשר ללמוד, יש מלא מאמרים) וזה החלק הקל יותר.

    איך הם בדיוק מגיעים למצב שבו ניתן להזריק פקודות SQL ? אני ממש לא יודע וזה כבר התחום שלהם.




+ הגב לאשכול זה

חוקי משלוח הודעות

  • אין באפשרותך לפתוח נושאים חדשים
  • אין באפשרותך להגיב להודעה
  • אין באפשרותך לצרף קבצים
  • אין באפשרותך לערוך את ההודעות שלך