sql injection , sql helper , sqlfury, bsql , acunetix P2
Ang mga Hacker ay pinagsamantalahan ang mga kakulangan sa isang popular na open-source software sa advertising upang ilagay ang malisyosong code sa mga advertisement sa ilang mga tanyag na Web site sa nakalipas na linggo.
Ang mga attackers ay sinasamantala ng isang pares ng mga bug sa OpenX advertising software upang mag-login sa advertising mga server at pagkatapos ay ilagay ang malisyosong code sa mga ad na hinahain sa mga site. Noong Lunes, sinabi ng cartoon syndicator na si King Features na ito ay na-hack noong nakaraang linggo, dahil sa mga bug ng OpenX. Ang produkto ng Comics Kingdom ng kumpanya, na naghahatid ng mga komiks at mga ad sa halos 50 Web site, ay naapektuhan.
Matapos mapasabihan ang problema Huwebes ng umaga, tinukoy ng King Features na "sa pamamagitan ng isang pang-seguridad na pagsasamantala sa application ng ad server, isang malisyosong code sa aming database ng ad, "sinabi ng kumpanya sa isang nota na nai-post sa Web site nito. Ang mga Tampok ng Hari ay nagsabi na ang nakahahamak na code ay gumamit ng isang bagong, unpatched na pag-atake ng Adobe upang mag-install ng malisyosong software sa mga computer ng biktima, ngunit hindi agad ma-verify.
Ang isa pang gumagamit ng OpenX, ang ulat ng Is not It Cool Web site ay naiulat na may isang katulad na pag-atake noong nakaraang linggo.
Pag-atake sa Web batay ay isang paboritong paraan para sa mga cyber-kriminal na i-install ang kanilang malisyosong software at ang pinakahuling yugto ng hacks ay nagpapakita kung paano Ang mga network ng ad server ay maaaring maging kapaki-pakinabang na mga conduit para sa atake. Noong Setyembre, naglagay ang mga scammer ng malisyosong software sa Web site ng The New York Times sa pamamagitan ng pagpapanggap bilang mga lehitimong mamimili ng ad.
Ang parehong pamamaraan na nagtrabaho sa Mga Tampok ng King at Hindi Ito Cool News ay ginamit upang sumibak sa hindi bababa sa dalawang iba pang Web ang mga site noong nakaraang linggo, ayon sa isang administrator ng OpenX na nagsalita sa kondisyon ng pagkawala ng lagda, dahil hindi siya pinahintulutan na makipag-usap sa pindutin.
Nagamit ng mga Attacker ang isang atake upang makakuha ng mga karapatang mag-login sa kanyang server, at pagkatapos ay nag-upload ng maliciously naka-encode na imahe na naglalaman ng isang PHP script na nakatago sa loob nito, sinabi niya. Sa pamamagitan ng pagtingin sa larawan, pinilit ng mga attackers na isagawa ang script sa server. Naglagay ito ng snippet ng HTML code sa bawat ad sa server. Kilala bilang isang iFrame, ang hindi nakikitang HTML na bagay na ito ay nag-redirect ng mga bisita sa isang Web site sa China na nag-download ng Adobe attack code.
OpenX ay nagsabi na alam nito na "walang mga pangunahing kahinaan na kaugnay sa kasalukuyang bersyon ng software - 2.8. 2 - sa alinman sa mga nai-download o naka-host na mga form, "sa isang e-mail na pahayag.
Hindi bababa sa isang gumagamit ng OpenX ang naniniwala na ang kasalukuyang bersyon ng produkto ay maaaring masusugatan sa bahagi ng pag-atake na ito. Sa isang post ng forum, sinabi ng isang gumagamit na siya ay na-hack habang nagpapatakbo ng isang mas lumang bersyon ng software, ngunit ang kasalukuyang (2.8.2) na bersyon ay masusugatan din. "Kung nagpapatakbo ka ng isang kasalukuyang, walang pagbabago na release ng OpenX, posible na hindi nagpapakilala mag-log in sa admin site at makakuha ng kontrol sa antas ng administrator ng system," sinulat niya.
Higit pang mga detalye sa OpenX hack ay matatagpuan dito.
Kapag ang mga mananaliksik sa Praetorian Security Group ay tumingin sa pag-atake sa Adobe, hindi ito nakuha ang unpatched na bug ng Adobe, sabi ni Daniel Kennedy, isang kasosyo sa pagkonsulta sa seguridad. Sa halip, ang pag-atake ay nagtagumpay sa isang iba't ibang uri ng tatlong magkakaibang paggamit ng Adobe, sinabi niya. "Nakita namin walang katibayan na ito ang 0day na patched ng Adobe sa Enero."
Sinasabi ng mga eksperto sa seguridad na ang Adobe flaw ay hindi pa ginagamit nang malawak sa mga pag-atake sa online, kahit na ito ay ibinunyag sa publiko. Sa Lunes, sinabi ni Symantec na nakatanggap ito ng mas mababa sa 100 mga ulat ng pag-atake.
Iyon ay maaaring dahil maraming tao ang tumatakbo pa sa mas lumang mga bersyon ng Reader na mahina sa iba pang mga pag-atake. Ang Adobe ay isang paboritong target ng mga mambabasa dahil ang isang katulad na bug lumitaw huling Pebrero. Adobe patched ang isyu sa Marso, ngunit maaaring maiwasan ng mga user ang pag-atake na ito at ang kasalukuyang isyu ng Adobe sa pamamagitan ng simpleng pag-disable ng JavaScript sa kanilang software Reader.
"Bawat tao ay dapat lamang binago ang pag-uugali sa kanilang mga Adobe reader," sinabi Gary Warner, direktor ng pananaliksik sa computer forensics sa University of Alabama sa Birmingham "Walang sinuman ang mambabasa ay dapat na Isinasagawa ang JavaScript."
Ang isa pang kasanayan na lumalaki ang katanyagan ay ang paggamit ng mga video game bilang mga tool sa pagsasanay. Ang maraming kaligtasan ng publiko at mga organisasyong militar ay gumagamit ng mga video game upang gayahin ang mga kondisyon ng field. (Halimbawa, ang labanan ng Amerikanong Hukbo ng digmaan, na binuo ng US Army, ay naging isang napakalaking matagumpay na tool sa pagrerekord para sa militar.) Ngunit hindi mo kailangang i-shoot ang Nazis upang makahanap ng halaga para sa mga laro s
Sa Regence Blue Cross / Blue Shield sa Portland, Oregon, ang mga miyembro ng IT department ay nakakakuha ng virtual na "mga token" para sa pagganap ilang mga gawain: Ang pag-reset ng password ng gumagamit ay nagkakahalaga ng 2 mga token. Ang pagpapatupad ng isang cost-saving na ideya ay kumikita ng 30 token. Ang mga empleyado ay maaaring "gastusin" ang mga token na ito upang maglaro ng mga laro ng mabilis at batay sa pagkakataon. Ang mga laro ay higit na katulad sa mga slot machine: Ang mga toke
Ang Verizon ay gumawa ng ilang mga menor de edad na mga pagsasaayos sa pinakabagong serye ng mga 3G coverage ng mga ad, ngunit ang AT & T ay hindi impressed. Pinalawak ng AT & T ang paunang reklamo at kahilingan para sa injunction na isama ang mga bagong ad, at nagbigay ng pahayag upang 'itakda ang tuwid na tala' tungkol sa mga claim sa Verizon. Talaga bang nararapat ang mga ad na ito ng pansin?
Una sa lahat, ano ang inaasahan ng AT & T na magawa? Kung ang layunin ay upang maiwasan ang mga customer at prospective na mga customer mula sa pag-aaral tungkol sa kanyang kalat 3G coverage, ang pag-file ng isang kaso at pagguhit ng pansin ng media ay hindi isang mahusay na diskarte. Ang netong resulta ay isang bungkos ng libreng advertising para sa Verizon.
Ay inilunsad sa isang panahon kapag walang Microsoft Fix It o ATS at Windows Troubleshooters, at ang tanging paraan para sa user na ayusin ang kanilang mga problema sa Windows ay sundin tutorial at mano-manong i-edit ang Windows Registry o i-download ang mga pag-aayos ng registry o mga file na bat at patakbuhin ang mga ito upang ayusin ang kanilang mga problema. FixWin v1 para sa Windows 7 at Windows Vista, ay isang first-of-its-kind tool na nagbago sa lahat ng iyon. Ang mga gumagamit ay maaarin
TANDAAN: