Eu não cheguei a ver o site atacado, mas não dá para saber se foi injection apenas pelo resultado da tela.
Por injection pode-se fazer um monte de coisas, dependendo do tipo de acesso conseguido. Se eles fizeram apenas alterações de conteúdo no banco (sem alterações de arquivos de interpretação - asp/php/html etc) ai é mais provável mesmo que seja apenas um injection com um insert ou update. Mas mesmo assim, não deixa de ser um bug no gestor/desenvolvedor etc. Porque o injection só acontece quando você não verifica as queries antes. Nesse sentido, um Zope/Plone ou qualquer outro framework bem feito ajudam, sim, pois eles já trazem isso. Ou seja, o colega está certo, sim, foi um bug de gestor ou de desenvolvedor. A uma porque não cuidou de verificar as queries, os posts ou outras formas de envio de informações, e a duas porque se poderia ter optado por um sistema de publicação em SL (já com os tratamentos), resolveu fazer in house. On 6/29/07, Olival Júnior <[EMAIL PROTECTED]> wrote:
Está na cara q vc não sabe do q está falando. Escutem o Omar. [ ]s, ojr Kayo Hamid escreveu: > Esta na cara que foi bug no gestor. > > Omar Kaminski wrote: >> Nem precisa ser hacker pra achar que tá com cara de SQL injection. >> >> []s >> >> >> Olival Gomes Barboza Júnior wrote: >> >>> O problema que ocorreu não teve nada a ver com Software Livre ou >>> Proprietário. Existem diversas técnicas de ataque q se baseiam em >>> fragilidades q não tem nada a ver com plataforma, se é q vcs me >>> entendem. Mais do q isso não dá pra comentar. >>> >>> [ ]s, >>> >>> ojr >>> >>> On 6/28/07, *Luis Flavio Rocha* <[EMAIL PROTECTED] >>> <mailto:[EMAIL PROTECTED]>> wrote: >>> >>> Em outras listas algumas pessoas estão questionando a segurança do >>> software livre e especificamente do Zope e do Plone, tecnologias >>> utilizadas no site da Câmara. Antes que essa dúvida se dissemine, é >>> importante que se saiba que seção invadida NÃO foi desenvolvida em >>> Zope/Plone, mas sim em ASP. >>> >>> >> >> _______________________________________________ >> PSL-Brasil mailing list >> PSL-Brasil@listas.softwarelivre.org >> http://listas.softwarelivre.org/mailman/listinfo/psl-brasil >> Regras da lista: >> http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil >> >> > > _______________________________________________ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil
-- Pablo de Camargo Cerdeira Advogado - OAB/SP 207570 Kaminski, Cerdeira e Pesserl Advogados [EMAIL PROTECTED] www.kcp.com.br Chave-pública (Id: F910EDD3) http://pgp.mit.edu:11371/pks/lookup?search=pcc%40kcp.com.br&op=index&fingerprint=on PGP Fingerprint (MD5): 59D6 6B1B E673 0ED1 0D5D 178B AE70 40C8 X.509 Fingerprint (SHA1): 2478 2AD9 4C36 7989 B498 5025 990B D214 0324 1D99
_______________________________________________ PSL-Brasil mailing list PSL-Brasil@listas.softwarelivre.org http://listas.softwarelivre.org/mailman/listinfo/psl-brasil Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil