赛门铁克网站上被曝存在一个SQL注入缺陷

cairuohao

赛门铁克网站上被曝存在一个SQL注入缺陷
2月21日消息，被称作“Unu”的一名罗马尼亚黑客表示，他在赛门铁克的“文档下载中心”网站发现了一个SQL注入缺陷。渠道合作伙伴可以在该站点下载赛门铁克产品的销售资料。Unu之前曾在卡巴斯基的网站上发现一个类似缺陷。

据国外媒体报道称，赛门铁克对此表示，这并非是个安全问题，公司和客户资料没有泄露。但赛门铁克关闭了该站点。赛门铁克称，“我们立即关闭了该站点，进行全面检测，并判断这并非一个安全缺陷。

赛门铁克的代表没有披露该事件详情，但作为世界上最知名的计算机安全厂商，这件事肯定让赛门铁克有些尴尬。Unu在其博客中写道，“具有讽刺性的是，推广安全产品的网页上居然有漏洞。”

在SQL注入攻击中，黑客利用了执行SQL数据库查询命令的web软件中的缺陷。黑客可以找到在数据库中运行命令的方法，获得本不应获得的数据。这些缺陷被广泛用于大规模web攻击中，去年犯罪分子就通过这种方法在数千个网站上植入了恶意代码。

就在一周多前，Unu在卡巴斯基、F-Secure和安全厂商BitDefender一家合作伙伴的网站上发现了一个类似问题。