Flickr, prodotto di Yahoo, uno dei più grandi siti di fotografia online e condivisione nel mondo, è stato recentemente colpito da vulnerabilità web critiche, che ha lasciato database e server, in mano ad hacker rendendolo particolarmente vulnerabile.

Ibrahim Raafat, un ricercatore di sicurezza dell’Egitto ha trovato vulnerabilità di SQL injection sui book di Flickr,  tamite la nuova funzione per la stampa di libri fotografici personalizzati attraverso Flickr che è stata lanciata 5 mesi fa.

Ha affermato di aver trovato due parametri (page_id, articoli) vulnerabili al Blind SQL injection e uno (cioè order_id) SQL Injection diretto che gli ha permesso di interrogare il database di Flickr mediante l’iniezione di una istruzione SQL SELECT.

L’exploit SQL potrebbe consentire ad un hacker di rubare accessi e proprietà direttamente al server in produzione.

flickr-sql-injection

 

Inoltre, SQL injection flaw di Flickr facilitano l’aggressore a sfruttare esecuzione di codice remoto sul server e utilizzando la funzione (“/ etc / passwd”) load_file riuscendo con successo a leggere il contenuto dei file sensibili sul server di Flickr, come mostrato di seguito :

flickr-sql-injection flickr-sql-injection (1)

 

PEr non farsi mancare niente, ha fatto anche un video: