美國電視劇《黑客軍團》(Mr. Robot)的新網站又被揭發有有漏洞。繼早前的 XSS 漏洞,又有白帽黑客發現網站的電郵清單資料庫可被 SQL Injection 攻擊。
早前《黑客軍團》的新網站有 XSS 漏洞,可讓黑客獲取 Facebook 用戶資料,其後已被修複。後來另一個白帽黑客 Corenumb 稱自己是《黑客軍團》的愛好者,以及受早前網站的 XSS 漏洞刺激,決定在網站尋找漏洞。
結果他發現網站的電郵訂閱功能有漏洞,有關的 PHP 程式碼可讓人透過 blind SQL Injection 攻擊,讓黑客可在儲存電郵清單的資料庫執行 SQL 指令。Corenumb 亦可從中獲得資料庫和伺服器的資訊。
他其後將漏洞回報,其後獲得回覆指漏洞已被修補。
Source : Arcs Technica
