Mezzo milione di siti colpiti con una Sql injection

Tutti usavano Microsoft IIS e Sql Server. A casa Redmond, però, sostengono di non avere colpa.

[ZEUS News - www.zeusnews.it - 30-04-2008]

500.000 siti Microsoft colpiti con una Sql injecti

Circa mezzo milioni di siti attrezzati con Microsoft Internet Information Server e Microsoft Sql Server sono stati oggetti di un attacco di tipo Sql injection.

La colpa, però, non sarebbe direttamente della società di Redmond; non si tratta, infatti, di una nuova falla non ancora sistemata, ma di un mancato rispetto delle procedure di sicurezza nella gestione dell'immissione di dati nei database.

A semplificare il lavoro degli attaccanti è tuttavia una caratteristica di Iis: esso permette l'uso di comandi generici, che non richiedono argomenti specifici a livello di tabella; d'altra parte, sia Microsoft che gli esperti di sicurezza che finora hanno commentato l'accaduto sono d'accordo nel ritenere che i responsabili principali siano i realizzatori dei database.

L'attacco consiste nell'immissione di codice Javascript nei campi di testo del database; successivamente viene caricato un script esterno che compromette i computer degli utenti, tentando di eseguire otto differenti exploit che riguardano applicazioni Microsoft.

Nell'attesa che tutti i siti vengano messi in sicurezza (per molti questo è già avvenuto), la soluzione che permette agli utenti di proteggersi è semplice: basta usare Firefox con l'estensione NoScript, che blocca il codice malevolo prima che venga caricato.

Per difendersi dagli attacchi di questo tipo, Microsoft ha pubblicato le linee guida che è bene seguire nella realizzazione di siti basati su Ms-Sql.

I webmaster i cui siti sono già stati colpiti, invece, sono invitati a ripristinare il proprio database da una copia di backup.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (2)

{Daniele}

Un buco del sistema? Direi piuttosto un buco nella testa in chi sviluppa siti cimentandosi in super mediocri programmatori e magari si sono fatti pure pagare rubando il lavoro a chi lo fa veramente di professione.
5-5-2008 09:30

mda

Quando la tappano ? Leggi tutto
2-5-2008 08:35

Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.


News(11 commenti) Clothoff bloccata in Italia: il Garante Privacy ferma l'app che spoglia le persone con la IA	News(9 commenti) La prima attrice generata dalla IA Tilly Norwood suscita polemiche reali

News(4 commenti)

Windows 11 25H2 è qui

News(3 commenti)

FRITZ!Shop apre in Italia: acquisti diretti dal produttore e supporto per reti e smart home

News(12 commenti)

Open Printer, stampante inkjet open source. Cartucce ricaricabili, design modulare e niente DRM

News(3 commenti)

Amazon Haul debutta in Italia: prodotti low-cost fino a 20 euro per competere con Temu e Shein

E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.

Sondaggio

Quale di queste professioni obsolete secondo te ha ancora un futuro?

	Agente di viaggio. C'è ancora qualcuno che prenota le vacanze in agenzia? (Parrebbe di sì)
	Cassiera di supermercato. Sostituita dalle casse automatiche e dalla spesa online. (Ma i clienti rimangono affezionati al vecchio sistema)
	Centralinista. Sostituito dai centralini digitali. (Eppure resiste in molte aziende)
	Data entry. Mai sentito parlare di scanner e OCR? (Invece c'è chi inserisce ancora tutto a mano)
	Dattilografo. I dirigenti moderni gestiscono il proprio blog, non dettano più gli appunti a una segretaria; al massimo usano il riconoscimento vocale. (Ma esistono davvero dirigenti... moderni?)
	Impiegato di banca allo sportello. Con i conti online è una figura sempre meno utile. (Però in banca tutti lo cercano)
	Giornalista. Con Google News, Facebook, Twitter e i blog, c'è ancora bisogno di loro? (Almeno dei migliori, evidentemente sì)
	Postino. Con la posta elettronica, la posta tradizionale va diminuendo sempre più. (Ma ci vuole sempre qualcuno che la consegni)