Vc transcreveu de forma incorreta o q foi dito lá. Não tem *nada* a ver com ASP (pelo menos no sentido q vc está colocando).

O q existe é um webservice responsável pela consulta ao banco de notícias.

O Zope/Plone invoca este webservice para obter as notícias a partir de parâmetros presentes na URL das manchetes.

Agora, infelizmente, a aplicação q respondia pelo webservice tinha uma séria falha na hora de montar a query. Pisada na bola do Desenvolvedor.

Mas, até aí, não tinha porque o usuário q lê o banco de notícias ter privilégios de update. Pisada na bola do DBA.

E se tivéssemos sido um pouco mais paranóicos, poderíamos ter cortado estes ataques já no proxy-cache. Pisada na bola dos Sysadmins do site (ops... nessa entro eu). :-(

O mais chato é q foi algo banal e a infra-estrutura em si não teve um arranhão sequer. Ficamos um tempão fora do ar simplesmente efetuando as revisões necessárias para este tipo de coisa não acontecer (tanto q deixamos o site no ar apenas para a intranet durante o ocorrido). :-/

[ ]s,

ojr

Luis Flavio Rocha escreveu:
Segundo um email enviado por um técnico da Câmara para a lista zope-pt
o que ocorreu foi um problema de SQL-injection no sistema da Agência
Câmara. Este sistema é feito em ASP e gera XML que é consumido pelo
portal, feito em Zope.

_______________________________________________
PSL-Brasil mailing list
PSL-Brasil@listas.softwarelivre.org
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista: http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil

Responder a