Yahoo detentora do Flickr , um dos maiores site de gerenciamento de fotos on-line e compartilhamento no mundo foi recentemente impactado por vulnerabilidades em aplicações críticas, o que deixou de banco de dados e servidor de hackers vulneráveis.
Ibrahim Raafat , um pesquisador de segurança do Egito encontrou vulnerabilidades de injeção SQL no Flickr Photo Books , novo recurso para a impressão de livros de fotografia personalizado através do Flickr, que foi lançado 5 meses atrás.
Ele alegou ter encontrado dois parâmetros ( page_id, itens ) vulneráveis para Cegos injeção de SQL e um (ou seja order_id ) Injeção SQL direto que lhe permitiu consultar o banco de dados do Flickr para o seu conteúdo através da injeção de um instruções SQL SELECT.
A exploração bem sucedida SQL poderia permitir que um invasor roubar o banco de dados MYSQL e senha de administrador.
Além disso, falhas de injeção SQL do Flickr também facilitar o invasor explorar execução remota de código no servidor e usando load_file (“/ etc / passwd”) função que ele foi gerido com sucesso para ler o conteúdo dos arquivos confidenciais no servidor Flickr, como mostrado abaixo :
Além disso, Ibrahim foi capaz de gravar novos arquivos no servidor que deixá-lo carregar um ‘shell execução de código’ custom. demonstração vídeo:
fonte: http://thehackernews.com/2014/04/flickr-vulnerable-to-sql-injection-and.html