黑客称赛门铁克网站也有SQL漏洞 遭到否认

DoSECU安全报道 2月20日消息:本周四黑客称赛门铁克网站也有SQL漏洞,经过调查,赛门铁克表示并无安全威胁存在。

一名为Unu的罗马尼亚黑客,在过去几星期内揭穿了许多安全厂商的网站都存在很常见但是很危险的网页编程错误,他最近又声称发现赛门铁克网站也存在SQL注入漏洞。但是赛门铁克表示,这并不是一个安全问题。

尽管如此,自从本周四罗马尼亚黑客声称他在赛门铁克文档下载中心发现BUG后,赛门铁克被迫对公司网站进行了检查。据悉,文档下载中心是受密码保护的,渠道合作伙伴可以下载与公司产品相关的销售材料。

该网站主要是与销售材料有关的信息,赛门铁克表示,没有公司或者用户的消息遭到泄露。

"赛门铁克立刻停止了该网站,并进行全面测试,最终确定这不是一个安全漏洞,"赛门铁克在周四的一份声明中说,"看来一些个人所发布的信息是基于错误报告的。"

赛门铁克方面的代表对这一事件的细节未能做详细评述,但在最坏的情况下来看,这一事件会令赛门铁克感到尴尬,毕竟赛门铁克是世界最知名的计算机安全厂商。"最具讽刺意味的是这件事发生在提供Norton AntiVirus 2009和Norton Internet SECURITY等安全产品的网页。"该名黑客在他的记录中描述这一问题,"我可以说的就是:绝妙的广告。"

在SQL注入攻击中,黑客巧妙地利用了查询SQL数据库的网页设计的BUG。关键在找到一种方法来执行数据库命令,并获取一些通常受到保护的信息。这些漏洞被广泛地用于网络攻击,一些不法分子在过去一年的时间里在数千个网站中植入了恶意代码。

根据该名黑客的对事件的描述,他是否发现了SQL注入漏洞根本是个不清楚的事情,网络安全顾问机构SecTheory首席执行官Robert Hansen说。"他可能是正确的,这也许确实是个SQL注入,但是那又怎样?"他说,"对于攻击者来说,销售材料或许是有价值的,但是我并不这么认为。"

就在一周前,该黑客在卡巴斯基实验室的网站发现了类似的问题,同样的事情也发生在安全厂商BitDefender 和 F-Secure 的网站。对他们的攻击已经造成了数据的泄露,这些数据都是厂商一直保护的,如用户的电子邮件地址,产品激活代码和研究数据,但是没有财务相关的信息。

"但是我们必须从攻击中进行研究,并指出我们在哪里需要改进,"F-Secure在博客中如是评论此事。