【外刊IT评论网】我是如何入侵一个银行并挣了40大元的

标签: 心得体会 SQL注入 安全漏洞 | 发表时间:2011-08-11 00:46 | 作者:Aqee Stanley
出处:http://www.aqee.net
本文是从 How I Hacked a Bank and Made 40 Bucks 这篇文章翻译而来。


“你们的活做的的很差。这上面说发现了几个“严重”安全问题。怎么能会这样。我们是家银行呀!”John说——他是一家本地银行里负责安全的官员。我曾建议他扫描一下银行的网站,看有没有漏洞,以防万一,他扫描完后把我找来讨论报告里发现的问题。

我告诉他,如果报告里说的是实情,那我就退还收取的费用,不过这事情确实值得研究一下。我不在电脑旁,不能马上检查是什么原因。我要求他给我权利让我进行深入的查看,并要求他给我书面的授权。他同意了。

事实证明,扫描报告是正确的:在他们的网站上确实有个严重的漏洞:一个SQL注入漏洞。问题出在一个日历程序上,那是他们以每小时9美元的价格从印度雇用的程序员开发的。这个日历跟网站使用了同一个数据库,但是在不同的schema下,用不同的用户名和密码,他们以为这样很安全。他们的一些用户的信息和加密后的口令都存在这个服务器上。一些小公司里的安全漏洞多的就如瑞士奶酪一样 — 只是他们意识不到。没有人会想到自己能成为攻击的目标,直到事情发生后才醒悟。他们就是聪明的黑客最喜欢的目标。

数据库的版本很老,没有打过补丁,有一个已知的能导致SQL注入的漏洞,入侵者能通过它获取服务器上root的权限。我没有继续探究,我只是利用这个漏洞进入后,导出了一些主表,用邮件发给了他,让他知道,在几个小时内,我就能弄出他的银行账户信息和加密密码。

我对这个事情很感兴趣,一直密切关注他们的网站,但漏洞没有被修复,2个月后还是如此。最后,他们决定把整个日历程序删除掉,这样算是把漏洞补住了—他们没有开发团队,找不出有能力写出没有安全问题的代码的人。他们必须给CEO一个答复。这是一个拥有10亿美元资产的银行。10亿美元。

这样修改后,John希望再做一次扫描。出于好奇,我问他,让顾问做这样重复的工作,你愿意付多少钱?“1万美元,也许更多。”

到后来,我每次扫描只收40美元,但其实收的更少(我喜欢这个客户,希望他们的网站安全)。

今天已经变成只收7美元了。


本文来自外刊IT评论网(www.aqee.net),原始地址:我是如何入侵一个银行并挣了40大元的

相关 [it 入侵 银行] 推荐:

黑客轻易入侵花旗银行

- Wuvist - Solidot
Visame 写道 "盗取超过200,000名花旗银行客户资料的黑客使用了一种极其简单的方法入侵. 此举被称作是近年来最大胆的一次银行入侵. 黑客们仅仅是简单地登录花旗公司的信用卡客户专区,然后把浏览器地址栏中自己的帐号替换成他人的帐号,便可顺利进入他人的帐号. 随后黑客们使用计算机程序重复这一过程.

【外刊IT评论网】我是如何入侵一个银行并挣了40大元的

- Stanley - 外刊IT评论
本文是从 How I Hacked a Bank and Made 40 Bucks 这篇文章翻译而来. 这上面说发现了几个“严重”安全问题. ”John说——他是一家本地银行里负责安全的官员. 我曾建议他扫描一下银行的网站,看有没有漏洞,以防万一,他扫描完后把我找来讨论报告里发现的问题. 我告诉他,如果报告里说的是实情,那我就退还收取的费用,不过这事情确实值得研究一下.

Linux.com 遭受入侵

- leafduo - LinuxTOY
Linux 基金会旗下的 Linux.com 和 LinuxFoundation.org 网站,由于发现安全漏洞,进入离线维护状态. 感谢 gbraad 提供消息. Linux Foundation infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011.

kernel.org服务器遭入侵

- Lamo - Solidot
kernel.org网站首页发布公告,声称多台服务器在本月初(8月12日前)遭黑客攻击,他们在8月28日发现了入侵. 入侵者利用一位用户凭证获得了服务器根访问权限,他们正在调查黑客是如何提升权限的;系统启动脚本被加入了一个木马启动文件;ssh相关文件被修改. kernel.org声称,他们相信Linux kernel源代码库未受影响,因为git分布式版本控制系统的特性决定了它可以很容易注意到代码变化.

Linux.com 遭受入侵(更新)

- leafduo - LinuxTOY
Linux 基金会旗下的 Linux.com 和 LinuxFoundation.org 网站,由于发现安全漏洞,进入离线维护状态. 感谢 gbraad 提供消息. Linux Foundation infrastructure including LinuxFoundation.org, Linux.com, and their subdomains are down for maintenance due to a security breach that was discovered on September 8, 2011.

Linux入侵检测基础

- - WooYun知识库
在linux中有5个用于审计的命令:. last:这个命令可用于查看我们系统的成功登录、关机、重启等情况;这个命令就是将/var/log/wtmp文件格式化输出. lastb:这个命令用于查看登录失败的情况;这个命令就是将/var/log/btmp文件格式化输出. lastlog:这个命令用于查看用户上一次的登录情况;这个命令就是将/var/log/lastlog文件格式化输出.

正确使用银行卡

- - 雨中发呆
请大家看清楚了,是网上银行汇款. 不是银行柜台上汇!柜台上的手续费比网上银行贵的. 但有一个例外,邮政储蓄要收0.5%. 工行:0.9%,最低0.9元/笔,最高45元/笔. 农行:0.4% ,最低1元/笔,最高20元(柜台手续费是0.5%,最高50元).  跨省:如果对方是银行卡:转账金额的0.06% (也就是万分之六),最低1元/笔,最高12元/笔.

银行与银行之间的现金是如何流转的?

- - 知乎每日精选
***2015-08-05有更新***. 首先,题主说的「现金」,银行术语叫「现钞」. 银行术语的「现金」包含范围更广,有现钞,也有你账户下的数目字. A君将100万现钞存入X银行:X银行在A君的账户下贷记100万(增加100万);现钞进库房,第二天可能去柜台可能去ATM机,满足其他储户的提现要求.

[警告] LastPass 可能被黑客入侵

- hongwen he - Chrome迷
提供基于 Web 的密码管理服务 LastPass 可能已经于近日遭受到黑客攻击,并要求用户修改主密码. LastPass 团队在博客中说道:. 周二早上我们发现我们的一个非主要服务器上有数分钟的网络流量异常,这种偶尔发生的情况最后通常确定是我们员工的操作或者是由一个自动执行的脚本引起. 但这一次我们没有找到根本原因,在对这个异常情况进行深入分析之后,我们在一个数据库上发现一个类似但更小的匹配流量异常(该数据库发送的流量比我们其他数据库接收的流量更多).

外星猫正在入侵地球

- 雪倩 - 鸸鹋动物园
借用微博上狗发发同学的话:“它们平时都是装出来的,它们在每个我们睡去的夜晚,都直立行走并且屹立在窗前抽着烟叹气:明天还要继续装萌喵,再忍忍喵,2012母舰就来接我们了喵”. © 丸子 for 鸸鹋动物园, 2011. 转发本文地址 外星猫正在入侵地球 http://www.ermiao.com/video/20110905/21712.html.