Fiquei intrigado após ler a notícia de que alguns script kiddies invadiram (novamente) o site do Ministério da Defesa e decidi verificar se ele (o site) tinha alguma falha, e é claro que ainda tem.
É uma falha de SQL Injection, na verdade ela é tão explícita que facilita completamente o trabalho de realizar um UPDATE e mudar alguma página. Segundo informação do jornal O Globo a falha já teria sido corrigida, o que obviamente é (mais) uma mentirinha do Governo.
Abaixo está uma cópia da página com a falha, espero que consertem logo…
Na figura assim os que conhecem SQL perceberão o erro na URL ID_MATERIA=33451+AND=1=2 quando o correto seria ID_MATERIA=33451+AND+1=2, eu fiz a mudança para mostrar que o erro não precisa ser blind, bem ao contrário, de Blind SQL Injection não tem nada…
Referências:
Script Kiddie: http://pt.wikipedia.org/wiki/Script_kiddie
Notícia de O Globo sobre o ataque: http://oglobo.globo.com/pais/mat/2009/09/28/hackers-invadiram-site-do-ministerio-da-defesa-767813691.asp
SQL Injection Cheat Sheet: http://ferruh.mavituna.com/sql-injection-cheatsheet-oku/
