Wir haben nichts zu sagen: RIAA Website durch SQL-Injektion leergefegt

[gullinews]

Reden ist Silber, schweigen ist Gold: Am Wochenende wurden alle Inhalte der Website der Recording Industry Association of America (RIAA) durch eine Manipulation gelöscht. Anfangs hatten sich die Besucher von Reddit.com öffentlich darüber ausgetauscht, wie man die SQL-Datenbank der RIAA mit massenhaften oder fehlerhaften Anfragen zum Erliegen bringen könnte. Kurze Zeit später nahm sich ein Hacker des Problems an und löschte durch Ausnutzen einer Schwachstelle der Datenbank kurzerhand alle Texte der Website.

Die SQL-Injektion hatte weitreichende Folgen: Der News Room, die Selbstbeschreibung der Organisation, Tipps zur Identifikation von mordkopierten CDs - wirklich alles war weg.

weiterlesen

[ITnetX]

Hacker = Terroristen ?!? Immer mehr wird genau dieses Bild geschaffen um die Totale Kontrolle voranzutreiben und die wo es eigentlich besser wissen müssten und für Datenschutz und Privacy kämpfen schaufeln sich somit ihr eigenes Grab.

[DasFragezeichen]

Schwchsinnige Aktion. Jeder einigermaßen gescheite Admin hat ein Backup vorliegen. Für die war das eine Sache von wenigen Minuten, dann war der Content wieder da. Da finde ich so "eingeschmuckelte" Links und Texte besser, wenn die RIAA auf irgendwelche "bösen" Webseiten linkt oder die neuste Musik direkt anbietet.

[Kugelfisch23]

Wie dumm kann man sein? (Die RIAA, nicht derjenige, der die SQL-Injektion durgeführt hat.)
Ein so viel kritisiertes Unternehmen kann nicht einmal seine Queries ordentlich escapen und den SQL-Usern vernünftige Rechte verteilen (ja, derjenige User, der nur Queries von der Webseite verarbeitet, braucht KEINE Schreibrechte!) - na gut, solcherlei sieht man überall, selbst auf offiziellen Seiten...

Nein, ich stehe nicht voll hinter demjenigen, der meinte, durch die Löschung der Datenbank werde alles besser - ich selbst hätte ein Link zu thepiratebay.org auf der Hauptseite platziert.

Übrigens: Eine XSS-Lücke ist noch da.

[235trauma235]

ein link wurde hinzugefügt

http://img528.imageshack.us/img528/6295/screenshot

greetz

Haahahhaha Kugelfisch du gefällst mir immer besser genau wie dein Blog

[Kugelfisch23]

http://img528.imageshack.us/img528/6295/screenshot

Der Link geht nicht, gibt einen 404 Not Found aus.

[DasFragezeichen]

Dein Link geht nicht. (Der mit dem Screenshot)

[Muelltuete]

doch der geht!
ihr müsst nur "1er1.png" hinten dranhängen.

http://mg528.imageshack.us/img528/6295/screenshot1er1.png

[235trauma235]

aber der geht http://img3.imagebanana.com/view/fow7cwzs/riaalol.JPG

greetz

[Gnet]

So ein Pech aber auch das jeder halbwegs logisch denkende Admin mindestens ein Backup besitzt. Im großen und ganzen war die Aktion doch für die Katz das ganze hat vielleicht für 10 Minuten gehalten danach wurde das Backup doch schon eingespielt. Also frage ich euch was diese Aktion gebracht ? Hätte das ganze mal so 1-2 tage gehalten währe es ja irgendwie cool aber so is ja irgendwie unnütz.

mfg Gnet

[Kugelfisch23]

doch der geht!
ihr müsst nur "1er1.png" hinten dranhängen.

Oh, danke. Danke auch an 235trauma235.

Andere Frage, leicht OT: Warum gehen Trackbacks nach gulli.com nicht? Mein Blog-Eintrag wurde trotz gesendetem Trackback nicht verlinkt.

[c64er]

Never underestimated the Underground

Weiter so !!

[wtfbbq]

haha genugtuung hoffe das war nich der letzte streich *g*

[Kugelfisch23]

Noch ein kleiner Hinweis am Rande: Vermutlich hat die MPAA irgendwann einmal dasselbe Problem. Eine SQL-Injection wäre dort soweit ich das beurteilen kann auch möglich. (http://mpaa.org/FlmRat_SrchReslts.asp, einfach mal mit den POST-Daten spielen, und in `rating` einige Anführungszeichen einbauen. Das über `txtseach` XSS möglich ist, erwähne ich nur kurz einmal)

[Gravenreuth]

[b]Reden ist Silber, schweigen ist Gold: Am Wochenende wurden alle Inhalte der Website der Recording Industry Association of America (RIAA) durch eine Manipulation gelöscht. Anfangs hatten sich die Besucher von Reddit.com öffentlich darüber ausgetauscht, wie man die SQL-Datenbank der RIAA mit massenhaften oder fehlerhaften Anfragen zum Erliegen bringen könnte. Kurze Zeit später nahm sich ein Hacker des Problems an und löschte durch Ausnutzen einer Schwachstelle der Datenbank kurzerhand alle Texte der Website.

Die sollten sich mal ein ordentliches Datenbanksystem zulegen und nicht mit so einer Freakler-Software arbeiten.

[Jonny54]

Übrigens: Eine XSS-Lücke ist noch da.

Mit Grüssen aus'm Ozean
Kugelfisch

Wie jetzt?

.... hast du das gemacht =-O

[ecli]

Wie jetzt?

.... hast du das gemacht =-O

weiß nicht, ob er sie gefunden hat, aber man kann damit ein bisschen rumspielen...

siehe http://tinyurl.com/2ofkou

die aktion mit der db war zwar ganz witzig, allerdings ziemlich sinnfrei, da jetzt erst recht alle 'hacker' etc. wieder in ein schlechtes licht gerückt werden...

cYa

[Kugelfisch23]

Wie jetzt?
.... hast du das gemacht =-O

weiß nicht, ob er sie gefunden hat

Ich denke doch. Ich hab' sie jedenfalls selbst entdeckt, ob sie vorher schon irgendwer irgendwo veröffentlicht hatte, kann ich natürlich nicht ausschliessen.

Die sollten sich mal ein ordentliches Datenbanksystem zulegen und nicht mit so einer Freakler-Software arbeiten.

Soo, Freakler-Software? SQL? Das ist ein Standard zur Datenbank-ABFRAGE (Standard Query Language) und keineswegs mit MySQL, dem freien Datenbanksystem, gleichzusetzen. So gibt es etwa auch MS-SQL, wie man sieht, wenn man mit der MPAA-Seite rumspielt.

Microsoft OLE DB Provider for ODBC Drivers error '80040e14'

[Microsoft][ODBC SQL Server Driver][SQL Server]Incorrect syntax near the keyword 'OR'.

/FlmRat_SrchReslts.asp, line 60

[mathmos]

Und wieder eine Kindergartenaktion mehr.

cu
mathmos

[fishwisch]

mir is grad wieder eingefallen, was noch ein grund is, gulli zu kennen