Нещодавно виявлені вразливості дозволяли віддалено скомпрометувати базу даних та сервер сайту.

Не так давно в продуктах компанії Yahoo! були виявлені небезпечні уразливості web-додатків, за допомогою яких потенційні зловмисники могли віддалено скомпрометувати базу даних та сервер цільового web-сайту. Мова йде про SQL-ін'єкції, виявленої дослідником безпеки з Єгипту Ібрагімом Хегазі (Ebrahim Hegazy).

Як випливає з особистого блогу експерта, вразливість розміщувалася на одному з доменів Yahoo! - innovationjockeys.

net - і існувала з-за неправильної обробки вхідних даних у параметрі «f_id». З її допомогою експерту вдалося витягти базу даних сервера, а вже в ній виявити зашифровані логін і пароль для авторизації в адміністративній панелі.

Небезпечна прогалина була усунута протягом перших діб після того, як Хегазі зв'язався з адміністраторами уразливого домену. Разом з тим, будь-якої премії дослідник не отримає, оскільки згаданий домен не входить в перелік web-сайтів Yahoo! , що беруть участь в програмі виплати винагород.