| |
هکری با نام مستعار "rEmOtEr" توانسته است با موفقیت سایت بریتانیایی کمپانی مایکروسافت را هک کند. این هکر پس از نفوذ به سایت مایکروسافت موفق شده است با دستکاری صفحه ای درون سایت بریتانیایی مایکروسافت و قراردادن چندین عکس از جمله عکس بچه ای که پرچم کشور عربستان سعودی را تکان میدهد، نفوذ خود را به اثبات رساند.
مشاور ارشد امنیتی مایکروسافت در اروپا، خاور میانه و آفریقا در این خصوص میگوید:" حفره امنیتی مورد استفاده قرار گرفته ترمیم شده است و مورد نگرانی دیگری وجود ندارد اما مایه تاسف است که سایت بریتانیایی مایکروسافت اولین قربانی این آسیب پذیری بوده است."
هکر مذکور با استفاده از روش تزریق کد در SQL یا (SQL Injection) و اجرای کد مخرب، دسترسی بدون اجازه ای به پایگاه داده وب سایت بریتانیایی مایکروسافت پیدا کرده است. در این نمونه از روش حمله، درخواست های SQL در آدرس اینترنتی (URL) جاسازی میشوند و به سرویس دهنده میرسند. هکر نیاز دارد تا شکلی نادرست از درخواست خود را به سرویس دهنده ارسال نماید تا در نتیجه پیغام خطائی را از سرویس دهنده دریافت کند.
به این صورت هکر می تواند با برگشت پیغام های خطا، ساختار ریخته شده پایگاه داده را کشف نماید. در قدم آخر هکر نمونه ای از درخواست مخرب خود را به سرویس دهنده ارسال میکند که در این مرحله پایگاه داده به دلیل آسیب پذیر بودن در عوض نمایش داده ها، داده جدید مد نظر هکر را وارد پایگاه داده می کند.
در حمله به سایت مایکروسافت، هکر مسیر حمله مشابه ای را پیموده است بطوریکه بازدیدکنندگان صفحه هک شده در عوض مشاهده صفحه اصلی با تعدادی فایل تصویر مواجه می شدند که از سایت های دیگر درون صفحه هک شده نمایش داده می شده است.
Halbheer در مورد روش های جلوگیری از این سبک از حملات میگوید:" مایکروسافت می توانسته به وسیله دو راه کار آسان بطور کامل روش نفوذ به این سبک را متوقف نماید. اول آنکه میتوانسته پایگاه داده را طوری تنظیم نماید که هیچ زمان پیغام خطا برگشت دهد و در روش دوم می توانسته است برنامه کاربردی تحت وب را طوری تنظیم کند که آدرس های اینترنتی (URL) وارد شده توسط مهاجم را مورد ارزیابی و تایید اعتبار قرار دهد."
سال گذشته سایت فرانسوی زبان مایکروسافت هک شد و در حدود چند ماه گذشته نیز سایت Microsoft IEAK قربانی حملات هکرها بود.
