Nezadovoljni građanin naše Bosne i Hercegovine hakirao je jutros web stranicu Federalne uprave za inspekcijske poslove.
Sudeći po komentaru koji je ostavio odrađeno je sve sa predumišljajem :), naime poruka glasi:
Dobrodošli na internet stranicu Federalne uprave za inspekcijske poslove! :) Sad smo 1:1 !! Pozdrav, "Telece okice"
Evo i screenshoot:
Klikom na sliku vidjeti ćete i veću verziju slike.
A evo i link (valjda će popraviti do podne :) ) : http://www.fuzip.gov.ba/index.php?lang=ba&sel=1
Malo sam pregledao web stranicu i hakirana je sa običnim SQL injection kodom. Nažalost, programeri web stranice nisu očekivali da će neko pokušati da na ovaj način uđe na web stranicu.
Pošto za klasični SQL injection treba malo više vremena IP adresa sa koje je "hack" odrađen je sigurno zapisana u protokolima rada web servera, tako da će biti lako pronaći krivca. Ako je bio malo pametniji pa koristio proksi server(e), možda ga i ne nađu.
Programeri bi trebali da pregledaju sve parametre koji ulaze preko web adrese i da koriste posebnu klasu za filtriranje svih ulaznih parametara, pa tek poslije provjere parametera da dalje rade sa istima ... :) Hoće li neko zbog ovoga trpiti konzikvence, to sigurno nije pitanje na koje ćemo dobiti odgovor :-) ...
Uglavnom, rasplet ćemo čitati ili u novinama ili na webu :) ...
SdP,
OmerBeg