En esta semana ha llegado a mis manos varios problemillas en la web de la SGAE http://www.sgae.es
Resulta ser que algún individuo aburrido utilizando un rudimentario ataque de overflood a la base de datos ha conseguido saturarla hasta que la web encolaba las peticiones Mysql y daba timeouts por todos lados.
Básicamente el método consistió en lanzar en un script búsquedas desde la A-Z en distintos idiomas en un bucle con X repeticiones.
Por ejemplo: http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=a
A los pocos segundos de lanzar el ataque el report que daba la web
AL no conectar al bd dice que no encuentra ninguna referencia y la pagina principal no tira de la misma bd por lo que el ataque no ha tenido mucho exito.
No obstante todas las noticias de ataques a la SGAE son bien recibidas ?
JEJe, Como el ultimo bug descubierto en las búsquedas de la web que permitía la inyección de código en el resultado y podíamos leer resultados bastante graciosos para la búsqueda de SGAE.
http://www.sgae.es/search/search-es.jsp?idioma=es&select=es&texto=%3Cscript%3Ed=document.getElementsByTagName(%22td%22);for(i=0;i%3Cd.length;i%2B%2B){if(i==30)%20d[i].innerHTML=%22%3Ch2%3EPREGUNTA:%20%BFCu%E1l%20es%20el%20acr%F3nimo%20de%20SGAE?%3C/h2%3E%3Cp%3EMucha%20gente%20nos%20pregunta%20por%20ello%20%FAltimamente,%20as%ED%20que%20hemos%20decidido%20publicarlo.%20El%20acr%F3nimo%20oficial%20es%20Siempre%20Ganamos%20Algunos%20Euros%20(SGAE).%3C/p%3E%3Ch2%3EPREGUNTA:%20%BFS%F3mos%20unos%20ladrones?%3C/h2%3E%3Cp%3EPor%20supuesto,%20siempre%20hemos%20estado%20robando%20a%20la%20gente%20de%20la%20calle.%20Hasta%20le%20quitamos%20dinero%20a%20la%20gente%20desamparada.%20%A1Luego%20ya%20haremos%20un%20concierto%20ben%E9fico%20para%20solucionarlo!%3C/p%3E%22;}%3C/script%3E
La ultima iniciativa interesante que ha llegado a mis manos es que en la próxima ocasión de votar en vez de introducir un voto en blanco, o cualquier otra cosa con menos sentido aun se introduzca la siguiente imagen.
Un saludo a todos.
meneame.net 13:39 on 26/04/2007 Permalink
Ataques a Sgae…
[CyP]En esta semana ha llegado a mis manos varios problemillas en la web de la SGAE http://www.sgae.es Resulta ser que algún individuo aburrido utilizando un rudimentario a taque de overflood a la base de datos a conseguido saturarla hasta que la web encolab…
carballo 13:53 on 26/04/2007 Permalink
es interesante lo de la imagen, me pregunto si se contaria como voto invalido tambien? Yo podria introducir en el sobre de mi voto la papeleta que quiero, y otra con esa imagen? Voy a investigar.
Victor 13:59 on 26/04/2007 Permalink
Jejeje, todo lo que nos quitan que se lo gasten ellos en programadores
Recuperacion de datos 12:37 on 28/04/2007 Permalink
[...] » noticia original [...]
nosololinux » Tijera contra papel 10:10 on 06/04/2008 Permalink
[...] contra papel, Piedra contra [...]