黑客声称Symantec网站上的SQL Bug

一位罗马尼亚黑客花了几周的时间在安全厂商的网站上暴露出一个常见但危险的Web编程错误，他说他在赛门铁克网站上发现了一个SQL注入缺陷。但赛门铁克表示，这不是一个安全问题。

赛门铁克周四被迫在一家罗马尼亚黑客名为Unu的公司网站上拉下了一部分网站，声称他发现了赛门铁克文档中的错误下载中心，该公司网站的密码保护部分，渠道合作伙伴可以下载公司产品的销售材料。

该网站拥有营销材料，赛门铁克表示没有公司或客户信息被曝光。

[更多阅读：如何从您的Windows PC中删除恶意软件]

“该公司周四在一份声明中表示，”赛门铁克立即关闭了该站点，并进行了全面测试，并确定该问题不是安全漏洞。 “看起来报告的人是根据错误信息报告的。”

赛门铁克代表无法详细评论此事，但最糟糕的是，这个问题让全球最知名的赛门铁克感到尴尬计算机安全厂商。 Unu在他的笔记中写道，“这种情况的讽刺之处在于它是在一个宣传Norton AntiVirus 2009和Norton Internet SECURITY等安全产品的页面上完成的。 “我能说些什么：很好的广告。”

在SQL注入攻击中，黑客利用查询SQL数据库的Web程序中的缺陷。关键是要找到一种方法来在数据库中运行命令并访问通常会受到保护的信息。

这些缺陷已被广泛用于Web攻击，这使得犯罪分子可以在数千个网站上放置恶意代码

根据Unu对此事的描述，目前还不清楚他是否发现了合法的SQL注入缺陷，Web安全咨询公司SecTheory的首席执行官罗伯特汉森说。 “他可能是绝对正确的，这可能是SQL注入，但如此，”他说。 “可能[销售材料]对攻击者来说真的很有价值，但我对此表示怀疑。”

就在一周前，Unu在卡巴斯基实验室的网站以及安全厂商BitDefender的合作伙伴网站上发现了类似的问题，并在F-Secure网站上发布。

这些攻击暴露了供应商希望保护的数据，例如客户电子邮件地址，产品激活码和研究数据，但不包括财务信息。攻击是我们必须学习的东西，并指出我们需要改进的地方，这不是世界末日，“F-Secure在一篇博文中写道，对此事发表评论。在F-Secure攻击中，黑客能够访问公司对恶意软件的统计信息。