‫תגובות לפוסט: "עוד אחד נפל חלל – פריצה לחשבונות ב-One"‬ http://www.we-cms.info/blog/one-sql-injection/ ‫מערכות ניהול תוכן‬ Thu, 26 Jan 2012 20:16:06 +0000 hourly 1 http://wordpress.org/?v=3.0 ‫מאת: שקד‬ http://www.we-cms.info/blog/one-sql-injection/comment-page-1/#comment-12683 ‫שקד‬ Sat, 04 Sep 2010 08:59:28 +0000 http://www.we-cms.info/blog/?p=1666#comment-12683 ‫איך יודעים אם פרצו לי לחשבון של אתר היכרויות? לחצתי בכדי לקרוא את אחת ההודעות שנשלחו לי ובמקום הודעה הופיע לי בחלון חדש רק המילים sql-injection בנוסף לכך זה קרא רק בהודעות ממשתמש ספציפי, אחרי שקראתי הרבה הודעות ממשתמשים אחרים האם נפרץ לי החשבון? והאם זה אומר שהוא זה שפרץ? ‬

איך יודעים אם פרצו לי לחשבון של אתר היכרויות?
לחצתי בכדי לקרוא את אחת ההודעות שנשלחו לי ובמקום הודעה הופיע לי בחלון חדש רק המילים
sql-injection
בנוסף לכך זה קרא רק בהודעות ממשתמש ספציפי, אחרי שקראתי הרבה הודעות ממשתמשים אחרים
האם נפרץ לי החשבון? והאם זה אומר שהוא זה שפרץ?

]]> ‫מאת: איתי חזן‬ http://www.we-cms.info/blog/one-sql-injection/comment-page-1/#comment-10509 ‫איתי חזן‬ Sat, 15 Nov 2008 20:25:45 +0000 http://www.we-cms.info/blog/?p=1666#comment-10509 ‫מרשים. אני בכל פעם נדהם מחדש מהדברים האלו, שכבר הייתי בטוח שעברו מהעולם. איך אנשים מעלים מערכות ללא QA גם באזורים הכי רגישים שלהם. האם השוק פרוץ? האם המימונים לא מקיפים? האם קלות הקמת המערכת, בעידן של מערכות CMS בקוד פתוח הורידה את החסם מתחת לגובה של קופסת הממתקים? פעם קראתי בגינטרנט על מישהו שהכיר מישהו שפרץ למערכת הציונים הראשית של כל הטכניון דרך SHELL פתוח. שמעתי שעכשיו הוא עובד בגוגל. בטח היו לו ציונים טובים :)‬

מרשים. אני בכל פעם נדהם מחדש מהדברים האלו, שכבר הייתי בטוח שעברו מהעולם. איך אנשים מעלים מערכות ללא QA גם באזורים הכי רגישים שלהם. האם השוק פרוץ? האם המימונים לא מקיפים? האם קלות הקמת המערכת, בעידן של מערכות CMS בקוד פתוח הורידה את החסם מתחת לגובה של קופסת הממתקים?

פעם קראתי בגינטרנט על מישהו שהכיר מישהו שפרץ למערכת הציונים הראשית של כל הטכניון דרך SHELL פתוח. שמעתי שעכשיו הוא עובד בגוגל. בטח היו לו ציונים טובים :)

]]> ‫מאת: הזומבקי‬ http://www.we-cms.info/blog/one-sql-injection/comment-page-1/#comment-10508 ‫הזומבקי‬ Sat, 15 Nov 2008 08:13:43 +0000 http://www.we-cms.info/blog/?p=1666#comment-10508 ‫רו"ש, אתה צודק בהחלט, וזה גם נאמר להם. אז עכשיו במקום להחזיר את הסיסמה הם מחזירים כוכביות לדפדפן... עם זאת, גם בלי חשיפת הסיסמה אפשר היה להכנס לכל חשבון שרוצים באמצעות שם המשתמש (או שדה אחר, אם יודעים מה השם שלו בבסיס הנתונים). מה שהיה נמנע זאת האפשרות להשיג את הסיסמה של המשתמש, שיחד עם האימייל אכן מהווה את הנכס העיקרי שאפשר להשיג בפריצה.‬

רו"ש, אתה צודק בהחלט, וזה גם נאמר להם. אז עכשיו במקום להחזיר את הסיסמה הם מחזירים כוכביות לדפדפן… עם זאת, גם בלי חשיפת הסיסמה אפשר היה להכנס לכל חשבון שרוצים באמצעות שם המשתמש (או שדה אחר, אם יודעים מה השם שלו בבסיס הנתונים). מה שהיה נמנע זאת האפשרות להשיג את הסיסמה של המשתמש, שיחד עם האימייל אכן מהווה את הנכס העיקרי שאפשר להשיג בפריצה.

]]> ‫מאת: רואה שחורות‬ http://www.we-cms.info/blog/one-sql-injection/comment-page-1/#comment-10507 ‫רואה שחורות‬ Fri, 14 Nov 2008 21:43:41 +0000 http://www.we-cms.info/blog/?p=1666#comment-10507 ‫היה גם ראוי להזכיר שבכלל לא צריך לשמור את הסיסמה במסד הנתונים, ואז כבר נחסכות לך צרות. וגם סביר להניח שההתקפה הזו (ספציפית) לא היתה עובדת, בגלל שמה שיש בשדה הסיסמה עובר גיבוב (hash).‬

היה גם ראוי להזכיר שבכלל לא צריך לשמור את הסיסמה במסד הנתונים, ואז כבר נחסכות לך צרות. וגם סביר להניח שההתקפה הזו (ספציפית) לא היתה עובדת, בגלל שמה שיש בשדה הסיסמה עובר גיבוב (hash).

]]> ‫מאת: זהר‬ http://www.we-cms.info/blog/one-sql-injection/comment-page-1/#comment-10506 ‫זהר‬ Fri, 14 Nov 2008 15:03:20 +0000 http://www.we-cms.info/blog/?p=1666#comment-10506 ‫מצמרר‬

מצמרר

]]> ‫מאת: יגאל‬ http://www.we-cms.info/blog/one-sql-injection/comment-page-1/#comment-10504 ‫יגאל‬ Fri, 14 Nov 2008 12:14:25 +0000 http://www.we-cms.info/blog/?p=1666#comment-10504 ‫לא להאמין כמה זה פשוט‬

לא להאמין כמה זה פשוט

]]>