名为TinKode和Ne0h的两名黑客已成功获得MySQL.com网站上的敏感信息，MySQL.com是流行的开源数据库网站。
 

　　黑客使用了SQL盲注攻击侵入网站，并泄露了全披露邮件列表(The Full Disclosure Mailing List)上的违规细节。
 

　　于2009年收购了Sun Microsystems，最近又新收购了MySQL的数据库部门的甲骨文公司，尚未承认这些违规行为。在网站上，SQL注入攻击利用网站漏洞是很常见的。这些漏洞可以让攻击者在数据库内执行查询等一些请求操作。如果数据库返回一个错误，精明的黑客利用这些信息就可以获得更广泛的访问，访问到包含基本数据的服务器。
 

　　在黑客共享的数据中，一些被破解的密码哈希可以揭示mySQL.com网站帐号登录的完整细节，包括前产品管理主任Robin Schumacher的WordPress帐号登录细节以及前社区关系副总裁Kaj Arnö的登录信息。
 

　　一些密码揭示了简单的短语。Schumacher将密码设置为四个简单的数字，且其中三个数字是重复的。黑客还发布了一些其他没有密码哈希表的数据库表。
 

　　有关Sun.com网站的信息也被发布。数据中包含了一系列的栏目，表格和一个受到SQL注入攻击的Sun网站的数据库。这些似乎只揭示了密码的缺陷，不过它确实显示出了一些公司的邮件地址。
 

　　虽然有些尴尬，但是不得不承认，这个漏洞不是MySQL数据库管理系统软件中的漏洞，而是网站的编码漏洞，Chester Wisniewski在 Sophos的Naked Security博客中这样写道，他是一个高级安全顾问。
 

　　Wisniewski表示，MySQL的网站也容易遭受ancross站点脚本(XSS)漏洞，该漏洞于2011年1月公布，但到目前为止该漏洞还未得到解决。“对你的网站进行SQL注入审计是非常重要的，同时还要使用安全的密码，”Wisniewski写道，“否则，这些攻击会让你感到绝望。”

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。