代码改变世界

继卡巴斯基后 赛门铁克网站被爆亦有SQL注入缺陷

2011-10-08 19:53  狼人:-)  阅读(185)  评论(0编辑  收藏  举报

2月21日消息,被称作“Unu”的一名罗马尼亚黑客表示,他在赛门铁克的“文档下载中心”网站发现了一个SQL注入缺陷。渠道合作伙伴可以在该站点下载赛门铁克产品的销售资料。Unu之前曾在卡巴斯基的网站上发现一个类似缺陷。

据国外媒体报道称,赛门铁克对此表示,这并非是个安全问题,公司和客户资料没有泄露。但赛门铁克关闭了该站点。赛门铁克称,“我们立即关闭了该站点,进行全面检测,并判断这并非一个安全缺陷。

赛门铁克的代表没有披露该事件详情,但作为世界上最知名的计算机安全厂商,这件事肯定让赛门铁克有些尴尬。Unu在其博客中写道,“具有讽刺性的是,推广安全产品的网页上居然有漏洞。”

在SQL注入攻击中,黑客利用了执行SQL数据库查询命令的web软件中的缺陷。黑客可以找到在数据库中运行命令的方法,获得本不应获得的数据。这些缺陷被广泛用于大规模web攻击中,去年犯罪分子就通过这种方法在数千个网站上植入了恶意代码。

就在一周多前,Unu在卡巴斯基、F-Secure和安全厂商BitDefender一家合作伙伴的网站上发现了一个类似问题。