In der Früh hab‘ ich über die Manipulationsmöglichkeiten von US-Regierungsdatenbanken gelesen und bei mir gedacht: „Hoffentlich sind die österreichischen Seiten besser geschützt“.

Aus Zeitmangel habe ich dem Drang widerstanden Tests an österreichischen Regierungsseiten vorzunehmen.

Soeben habe ich lesen müssen, dass sich bereits Andere diese Arbeit angetan haben und den WKÖ Webserver angegriffen haben. Dabei wurde die SQL-Injektion Lücke nicht benutzt um Daten auszulesen, sondern um Besucher auf chinesische Server weiterzuleiten. Dort wurde versucht den Besuchern Schadsoftware zu installieren, vermutlich um die Rechner in einem Botnetz einzugliedern.

Hoffentlich werden jetzt auch andere Regierungsseiten nach SQL-Injektion-Möglichkeiten untersucht. Ich habe keine Lust, dass jeder X-Beliebige mit SQL Kenntnissen meine Daten lesen kann.

Update: Der Standard berichtet über „massiven Datendiebstahl„, und dass WKO.at am letzten Stand der Technik war/ist. SQL-Injections sind ein Fehler, den Programmierer übersehen. Da hilft auch ein voll gepatchtes System nicht. Trotzdem sollte man zumindest einmal die gängigsten Angriffspunkte wie Formulare durchprobieren. Von irgendwelchen GET- und POST-Parametern red‘ ich jetzt gar nicht erst…

Schreibe eine Antwort

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

Erforderlich

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.