Flickr vulnerável à SQL Injection e falhas de execução remota de código

Flickr vulnerável à SQL Injection e falhas de execução remota de código

Yahoo detentora do Flickr , um dos maiores site de gerenciamento de fotos on-line e compartilhamento no mundo foi recentemente impactado por vulnerabilidades em aplicações críticas, o que deixou de banco de dados e servidor de hackers vulneráveis.
Ibrahim Raafat , um pesquisador de segurança do Egito encontrou vulnerabilidades de injeção SQL no  Flickr Photo Books , novo recurso para a impressão de livros de fotografia personalizado através do Flickr, que foi lançado 5 meses atrás. 
Ele alegou ter encontrado dois parâmetros ( page_id, itens ) vulneráveis ​​para Cegos injeção de SQL e um (ou seja order_id ) Injeção SQL direto que lhe permitiu consultar o banco de dados do Flickr para o seu conteúdo através da injeção de um instruções SQL SELECT.
A exploração bem sucedida SQL poderia permitir que um invasor roubar o banco de dados MYSQL e senha de administrador.
flickr-sql-injection
Além disso, falhas de injeção SQL do Flickr também facilitar o invasor explorar execução remota de código no servidor e usando  load_file (“/ etc / passwd”)  função que ele foi gerido com sucesso para ler o conteúdo dos arquivos confidenciais no servidor Flickr, como mostrado abaixo :
 flickr-sql-injection (1)
Além disso, Ibrahim foi capaz de gravar novos arquivos no servidor que deixá-lo carregar um ‘shell execução de código’ custom. demonstração vídeo: 

fonte: http://thehackernews.com/2014/04/flickr-vulnerable-to-sql-injection-and.html

Leave a reply