WNZ: Apple overvejede fysisk tastatur til iPhone
Diablo III's Real-Money AH rykkes til "soon"-tidsramme på grund af lanceringsproblemerSquare Enix: Activision må være tossede for at droppe True Crime: Hong KongAnalytiker: Grand Theft Auto 5 sælger mindst 14 millioner eksemplarerMinecraft rammer 9 millioner solgte eksemplarerNy, lang gameplay-trailer til Sleeping DogsNy gameplay-video fra Sniper: Ghost Warrior 2 tager os til BosnienJapansk lanceringstrailer til Anarchy ReignsResident Evil: Chronicles HD får dato og prisRockstar annoncerer systemkrav til pc-udgaven af Max Payne 3Hvornår har du sidst været til LAN?
10. nov. 2008 15:20It-sikkerhedsfirmaet Kaspersky Lab advarede i fredags om et større angreb fra hackere mod servere rundt omkring i verden, et angreb der skulle have placeret skadelig kode på op imod 10.000 servere.
Det menes, at det er lykkedes at tilgå serverne ved hjælp af kompromitterede brugerkonti på hjemmesiderne eller ved hjælp af SQL-injections. Et stykke JavaScript-kode tilføjes på hjemmesiderne, som sender besøgende videre til en af seks servere, der igen sender folk videre til en server i Kina. Denne server prøver så på at ramme den besøgende ved hjælp af fejl i Firefox, Internet Explorer, Adobes Flash Player og ActiveX.
Er ens software ikke opdateret, kan man risikere at få flere forskellige typer spyware og trojaner på ens computer, deriblandt et program, som er designet til at stjæle World of Warcraft adgangskoder.
We’re estimating that in the last two days alone, between 2,000 and 10,000 servers, mainly Western European and American ones, have been hacked.Kaspersky Lab
Ifølge Kaspersky så blev et lignende angreb observeret tidligere på året, dengang ramte det omkring 1,5 millioner hjemmesider.
10. nov. 2008 15:21
ehm, ja ..
Er det sket for youtube? For siden er nede for første gang i mand minde?
500 Internal Server Error
Sorry, something went wrong.
A team of highly trained monkeys has been dispatched to deal with this situation. Please report this incident to customer service.
9 ud af 10 læger siger jeg er syg i hovedet! Den sidste stak af...
10. nov. 2008 15:22
Ehh.. de vil stjæle adgangskoder til WOW på 10.000 servere? Jeg har godt nok ikke WOW installeret på nogen af mine servere. Mon ikke de mener pc'ere?
10. nov. 2008 15:27
#2 De servere som bliver inficeret forsøger at installere programmer på brugerens pc når denne besøger hjemmesiden.
Så det stemmer fint nok med teksten.
Synes godt nok det virker som et skræmmende stort angreb. Men det er altså ikke noget der påvirker folk med mindre de ikke har den nyeste update til deres ting.
10. nov. 2008 15:36
#1 benytter du opera?
jeg får samme fejl i opera, men virker fint i FF/IE7
#topic
Der må være en del seriøs penge i at stjæle guld i WoW, siden de gider at bruge tid på det.
10. nov. 2008 15:39
#4
WoW guld er en industri på flere millioner dollars.
Core i7 920 @ 2.66 - 12GB DDR3 (1333 Mhz) - GTX285 1GB DDR - 22" Samsung T220 - HTC Desire (Android 2.3)
10. nov. 2008 15:41
#1 benytter du opera?
jeg får samme fejl i opera, men virker fint i FF/IE7
arrogant (#4)
Baha, det var så lidt ;D
Fixing FRS is a bit of a pain because the more one gets to know FRS, the more that one is forced to conclude that FRS was designed and coded on a...
10. nov. 2008 15:53
Ah lad dog børnene - jeg kan da godt bruge en chinese gold farmer til at grinde noget gold til min WoW-konto :P
I would love to change the world, but they won't give me the source code.
10. nov. 2008 16:10
#3:
#2 er bare en posthunter der svarer uden at have læst nyheden.
#0:
Lidt skræmmende, så må vi jo håbe at vi har en flok kompetente serveradmins i verden der kan fjerne det igen :)
10. nov. 2008 16:23
SQL injections, IGEN?! altså, hvornår lærer folk det :/
Anyway, glad for jeg bruger Linux, ingen til at stjæle min wow konto :)
10. nov. 2008 16:36
Det var godt nok noget af en omgang. SQL injections.. Tja koder selv PHP og det er da også underligt at de ikke gør det nemmere at forbygge SQL injections når der nu er så mange der ikke kan finde ud af at lave deres kode sikker. Men man må da håbe på at folk kan finde ud af at have opdaterede versioner af de pågældende programmer. Dog er det smart at prøve på 4 forskellige ting, da sandsynligheden for at få succes fremmes en del.
10. nov. 2008 17:37
Lidt skræmmende, så må vi jo håbe at vi har en flok kompetente serveradmins i verden der kan fjerne det igen :)thethufir (#9)
Well, YouTube has a team of highly trained monkeys who've been dispatched to deal with this situation.
You are in control of your breathing, your arms have weight, you are controlling your blinking, and you can feel your tongue in your mouth.
10. nov. 2008 18:14
MySQL Exception
Fortunately, if you use MySQL, the mysql_query() function does not permit query stacking, or executing
multiple queries in a single function call. If you try to stack queries, the call fails.
However, other PHP database extensions, such as SQLite and PostgreSQL, happily perform stacked queries,
executing all of the queries provided in one string and creating a serious security problem.
10. nov. 2008 18:33
Det var godt nok noget af en omgang. SQL injections.. Tja koder selv PHP og det er da også underligt at de ikke gør det nemmere at forbygge SQL injections når der nu er så mange der ikke kan finde ud af at lave deres kode sikker. Men man må da håbe på at folk kan finde ud af at have opdaterede versioner af de pågældende programmer. Dog er det smart at prøve på 4 forskellige ting, da sandsynligheden for at få succes fremmes en del.chase- (#11)
Faktisk har ASP.NET allerede en sådan forebyggende funktion, der advarer (dvs. du får en exception) mod skadelig input fra brugere. Dette sker dog også ved brug af parametre.
Så ja, det er efterhånden utroligt hvor stor en skade SQL injections har stået for, dog er det nok ved at være et overstået kapitel.
10. nov. 2008 19:47
SQL injections, IGEN?! altså, hvornår lærer folk det :/
Anyway, glad for jeg bruger Linux, ingen til at stjæle min wow konto :)Krissam (#10)
Man kan godt køre WoW på Linux. Hvad er din pointe? :-)
Din fritid har kun en værdi hvis du ville bruge den på noget fornuftigt i forvejen.
10. nov. 2008 19:50
Så lær dog at sikre kode mod injections....
Ultimative måde:
function antiInjektion($variabel){
return trim(mysql_real_escape_string(addslashes($va
riabel)));
}
og så brug antiInjektion($_POST[ting])
Huhu..... Så er man i hvert fald sikret på alle måder..
ellers så lav en array_walk i starten af dit dokument (eks. din db.php) med trim, real_escape_string og addslashes, så bliver alle inputs automatisk sikret on-the-fly :)
10. nov. 2008 20:03
#11
PHP gør vist stort set hvad de kan.
Men man jo kun tilbyde nogle features - man kan ikke tvinge programmører til at bruge dem rigtigt.
10. nov. 2008 20:06
#13
[hmm - mit indlæg forsvandt]
Blokering for udførsel af flere SQL sætninger i en enkelt eksekvering er ikke nok til at beskytte mod alle former for SQL injection.
10. nov. 2008 20:08
#14
Både data validering og parametre er meget ældre end ASP.NET !
Og 2008 har vist været året med flest SQL injection problemer, så jeg deler ikke helt din optimisme.
10. nov. 2008 20:12
#16
Den metode har været forældet i adskillige år (siden mysqli extension kom med PHP 5).
Er det iøvrigt ikke lidt "originalt" at bruge både mysql escape *og* addslashes ?
10. nov. 2008 21:41
#19
I know, jeg siger også blot at ASP.NET har den feature som #11 forespørger:
"det er da også underligt at de ikke gør det nemmere at forbygge SQL injections når der nu er så mange der ikke kan finde ud af at lave deres kode sikker."
Om SQL injections ikke er på vej væk? Jeg tvivler på at et "hul" med en så voldsom medieomtale som SQL injections har fået i 2008, har gode odds for netop at leve videre.
10. nov. 2008 22:47
#21
Der er altid nogen som glemmer det uanset hvor meget omtale det har fået.
11. nov. 2008 12:45
Det er jo meget fint med all den gode info i kommer med.., men er der nogen der kan fortælle hvordan man checker om en's pc er inficeret ?
11. nov. 2008 15:27
#23
Du skal vel checke om det slemme JS er blevet indsat i din database (og dermed vises på dine sider).
At søge i database fremfor at kigge på sider er nok mere pålideligt.
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
