Vc transcreveu de forma incorreta o q foi dito lá. Não tem *nada* a ver
com ASP (pelo menos no sentido q vc está colocando).
O q existe é um webservice responsável pela consulta ao banco de notícias.
O Zope/Plone invoca este webservice para obter as notícias a partir de
parâmetros presentes na URL das manchetes.
Agora, infelizmente, a aplicação q respondia pelo webservice tinha uma
séria falha na hora de montar a query. Pisada na bola do Desenvolvedor.
Mas, até aí, não tinha porque o usuário q lê o banco de notícias ter
privilégios de update. Pisada na bola do DBA.
E se tivéssemos sido um pouco mais paranóicos, poderíamos ter cortado
estes ataques já no proxy-cache. Pisada na bola dos Sysadmins do site
(ops... nessa entro eu). :-(
O mais chato é q foi algo banal e a infra-estrutura em si não teve um
arranhão sequer. Ficamos um tempão fora do ar simplesmente efetuando as
revisões necessárias para este tipo de coisa não acontecer (tanto q
deixamos o site no ar apenas para a intranet durante o ocorrido). :-/
[ ]s,
ojr
Luis Flavio Rocha escreveu:
Segundo um email enviado por um técnico da Câmara para a lista zope-pt
o que ocorreu foi um problema de SQL-injection no sistema da Agência
Câmara. Este sistema é feito em ASP e gera XML que é consumido pelo
portal, feito em Zope.
_______________________________________________
PSL-Brasil mailing list
[email protected]
http://listas.softwarelivre.org/mailman/listinfo/psl-brasil
Regras da lista:
http://twiki.softwarelivre.org/bin/view/PSLBrasil/RegrasDaListaPSLBrasil