На сайте Intel найдены SQL-inj
Известный специалист по sql-inj — хакер Unu опубликовал интересную sql-инъекцию, найденную на сайте Intel, а если точнее, то уяивзмость была найдена на веб-сайте Intel Channel Webinars, который функционирует в рамках программы дистрибуции Интел.
Интересных моментов несколько. Во-первых, пароли администраторов хранятся в базе в незашифрованном виде. Кроме того, конфигурация базы данных позволяла выполнить функцию load_file, это дает возможность пробовать загрязить вебшелл. В случае загрузки шелла появилась бы возможность разместить полноценный дефейс на главной странице. Поэтому уязвимость больше, чем серьезная.
Также интересен тот факт, что в таблицах базы данных содержались сведения о кредитных картах (credit_card_number, card_expire_date и card_cvv) в незашифрованном виде.
Скриншоты можно посмотреть здесь: один, два, три, четыре и пять.