500.000 Situs Berbasis Microsoft Diserang SQL Injection

Sumber ikisativa.wordpress.com
Sebuah serangan SQL injection yang ditargetkan khusus untuk web server IIS telah memakan korban 500.000 situs, termasuk situs PBB, pemerintah Inggris dan departemen keamanan Amerika Serikat. Walaupun serangan ini bukan murni merupakan kesalahan Microsoft, serangan ini hanya dapat dilakukan di situs yang menggunakan server IIS.

Jadi, apakah serangan ini merupakan kesalahan dari pihak Microsoft yang mengeluarkan produk yang tidak aman?

Jawabannya adalah ya dan tidak. Para pengembang situs yang terkena serangan ini bersalah karena tidak melakukan validasi pada input yang diterima untuk menyaring serangan SQL Injection ini. Akan tetapi, para cracker juga memiliki alasan kuat untuk menargetkan IIS yang mengoperasikan ASP.

Cracker telah membuat prosedur SQL menyerang celah di mana server IIS Microsoft menerima perintah SQL tanpa perlu mengetahui nama tabel maupun field yang ada di dalamnya.

Serangan ini sendiri memasukkan coding Javascript ke dalam semua field di database yang kemudian memanggil sebuah script external untuk dijalankan di PC korban.

Sebagian besar situs besar yang terpengaruh telah memperbaiki coding di balik layar dan mengumumkan bahwa kelemahan ini telah diperbaiki. Akan tetapi, apabila anda tidak ingin mengambil risiko apapun, gunakan Firefox dengan NoScript. (Wired)