Ministerstwo Sprawiedliwości zagrożone atakiem
Istnieje bardzo wysokie prawdopodobieństwo, że serwis internetowy Ministerstwa Sprawiedliwości może zostać zaatakowany przez hakerów. W ostatnim czasie podobny los spotkał witryny Kancelarii Premiera RP i Ministerstwa Pracy i Polityki Społecznej
Redakcja cyberterroryzm.pl otrzymała anonimowy e-mail i zrzut ekranu, prezentujący podatność typu SQL Injection, znajdującą się w serwisie internetowym Ministerstwa Sprawiedliwości. Na obrazku widać możliwość penetracji jednej z baz danych serwisu Ministerstwa Sprawiedliwości.
Luka znajduje się w jednej z podstron serwisu, w której najwidoczniej zapomniano o prawidłowym filtrowaniu wysyłanych podczas zapytań do bazy danych informacji. Informacje znajdujące się w tej podrzędnej bazie resortu z pewnością nie stanowią większego zagrożenia, lecz stanowią dobrą podstawę pod dalszą ingerencję w kolejne struktury informatyczne resortu.
Luka SQL Injection w tym przypadku, pozwala również na zapoznanie się z wersją oprogramowania serwera baz danych, pracującym dla serwisu Ministerstwa Sprawiedliwości, który korzysta z delikatnie podstarzałego Microsoft SQL Server 2000. Podatność umożliwia dokładne zapoznanie się z systemem bazowym, tj. Windows NT 5.2, zawierającym Service Pack 2.
Czasami, przy pewnych założeniach, takich jak m.in. katalogi on-line z prawami do zapisu, ingerencja w bazę danych pozwala na wgranie do zasobów serwera pliku typu PHP Shell, mogącego bezpośrednio zagrozić serwerowi (poprzez uzyskanie praw administratora systemu) oraz witrynie serwisu (poprzez podmianę strony serwisu), jak to miało miejsce w przypadku KPRM i MPiPS.
