亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　最近，因存在嚴重的SQL漏洞，雅虎的網站遭到了侵入，受到了很大的的影響（注：該網站并不是yahoo主站，而是隸屬于yahoo的一個印度創意征集網站，詳情見文末）

　　安全專家、滲透測試師Ebrahim Hegazy（來自的埃及的Zigoo），發現了這枚嚴重的SQL漏洞。漏洞允許攻擊者在root權限下執行任意命令。

　　據Hegazy在blog的發表的文章說，SQL漏洞存在于雅虎的一個網站中，網址是http：//innovationjockeys.net/tictac_chk_req.php （截止到目前，該漏洞已經被修復，但是網址仍然是可以訪問的）

　　任意遠程用戶可以篡改上述URL中的“f_id”字符串，而這個字符串正存在注入點可以使攻擊者獲取到該網站的數據庫。（小編注：脫褲子啦快跑啊~~）

　　在滲透的過程中，Hegazy發現用戶名和密碼（密碼是Base64加密的）（小編注：看到base64我也是醉了，這也叫加密？這不是編碼么。。。），然后他便解碼了管理員密碼并成功登陸上了網站管理界面。

　　此外，SQL注入漏洞也任由攻擊者進行了遠程代碼執行，同時，因為服務器使用了一個沒有打過補丁的內核，所以Hegazy輕易獲取了root連接。（小編：雅虎你確定你的網站運維真的不是對手派來的嘛？）

　　進入管理界面之后。。

　　管理員界面允許他上傳一個文件到服務器上面，但是他發現當他用“phpinifo()”函數上傳一個文件作為內容之后，上傳的文件的后綴并不是“.php”而是“.xrds+xml”。

　　但是在接下來的嘗試之中，他截斷了文件上傳請求的數據包，并且將“Content-Type” 改成了 “application/php”，從而成功觸發了php代碼，使之成功在服務器上面得以運行。

　　Hegazy于9月5日向雅虎安全團隊報告了這個漏洞，而在一天之內雅虎迅速修復了該漏洞。但是雅虎卻以該網站不在雅虎的漏洞報告范圍為由，并沒有給可憐的Hegazy任何報酬，連提也沒提。