金曜日, 7月 05, 2013

#OCJP-107: 「worldreporter.jica.go.jp」のSQLi脆弱性でデータベースのアクセスがバレちゃった…

本日ハッカーのサイトで「worldreporter.jica.go.jp」のSQLi脆弱性を発見しました。
書いた情報を読むと既にデータベースのアクセス情報迄バレたそうです。

ハッキングの原因は↓
sqli over $_GET
↑をバイパスされましたそうで、PHPコードを作り直す必要があります。

確認しましたら確かにSQLi脆弱性が今も未だ残っています↓


2013年7月7日午後の14:41JSTのスナップショット(報告してから立った二日間)

↑書いた様にこれでデータベース迄アクセスされる可能性も出ますね…

jica.go.jpダイレクトに本件の事件について自然に報告しましたので…無視されました…


本件のSQLiからサーバの権利が100%取られますので、下記のビデオをご覧下さい。


危険ですので、早く脆弱性を直してほしいですね。

追加情報、JICAからの連絡が届きました↓

0 件のコメント:

コメントを投稿