神刀安全网

《黑客军团》影迷对电影网站Mr.Robot进行了安全检测

在美国电视网(USA Network)的安全人员修复了之前的XSS漏洞后不久,黑客们又找到了一种新的攻击方式,即SQL恶意代码注入攻击

《黑客军团》影迷对电影网站Mr.Robot进行了安全检测

Mr.Robot 是美国电视网旗下的一个介绍电视剧、电影、脱口秀以及相关娱乐节目的子网站。近期,根据美国电视网的调查显示,与该网站同名的一部美剧《 Mr.Robot 》(黑客军团),因其剧情对黑客攻击和信息安全维护等方面进行了生动地描写,让广大民众了解这一领域的相关知识,而得到了广大的赞誉和好评。受到该部电视剧的影响, Mr.Robot Website 吸引了一批被称为“白帽子( white hat )”的黑客爱好者的关注。他们热衷于网络安全研究,决定为 Mr.Robot开展 漏洞查找工作。

5 10 日,美国电视网为 Mr.Robot 建立了一个新的站点,为的是要推广即将在 7 月亮相的,在美国电视网发布系列第二季中推出的新版网页页面。该页面是基于 Java-Script脚本语言编写 的网页页面,同时还能进行文本输入和 Linux shell 界面模拟,并配备有一个 GRUB GRand Unified Bootloader GNU 项目操作系统启动程序)的消息启动机制。在同一天,根据福布斯杂志记者 Thomas Fox-Brewster 的报道,一位化名为 Zemnmez的 白帽黑客表示,在 Mr.Robot 中存在一个 XSS (跨站脚本攻击)漏洞。黑客可利用该漏洞,来骗取 Mr.Robot 站点访客的,在 Facebook 中的文件配置数据。 Zemnmez 将这一漏洞的相关情况,通过电邮的方式,向《 Mr.Robot 》的作者 Sam Esmail 进行了汇报。数小时后,根据 NBC (美国国家广播公司, USA Network 的母公司)报道,该漏洞已经被修复。

关于这一 XSS 漏洞的报道,引起了该剧(《 Mr.Robot. 》)其他热衷粉丝的广泛关注。 5 13 日,另一名自称 Corenumb 的白帽黑客声称,他已经破解了 Mr.Robot 站点用户,用于注册的 e-mail 密码;同时从网页所使用的 PHP 代码中,发现了一个能进行 SQL 注入攻击的漏洞。黑客可通过该漏洞,向其网页编译代码中,加入恶意 SQL 执行语句,使程序在执行时,能够忽略网页弹出的攻击预警消息;同时,通过执行恶意 SQL 语句的方式,黑客可直接攻击存储有节目列表等信息的后台数据库。 Corenumb 还对后台数据库中的数据和服务器的运行情况进行了检查。该后台服务器使用的是 SQL map ,它是一款开源渗透测试工具,可以自动探测和利用 SQL 注入漏洞来接管数据库服务器。

NBC Corenumb 所反映的情况,迅速给予了回应。但到目前为止,还没有任何消息能够表明该漏洞已经得到修复。而能让我们感到欣慰的一点是,一些热衷于《 Mr.Robot 》的白帽黑客已经帮助 USA Network 完成了一些系统渗透测试。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。

原文链接:http://arstechnica.com/security/2016/05/hacker-fans-give-mr-robot-website-free-security-checkup/

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 《黑客军团》影迷对电影网站Mr.Robot进行了安全检测

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址