В четверг ночью хакеры LulzSec использовали PHP-инъекцию (RFI) на законсервированном внутреннем сервере, где был размещен домен -new-times.co.uk-.
RFI-уязвимость обычно позволяет хакерам установить полный контроль над сервером жертвы для загрузки изображений или скриптов с внешнего сайта. Получение доступа к обсуждаемому серверу затем позволило хакеру с легкостью получить доступ к системе управления контентом сайта The Sun.
Хотя метод взлома еще предстоит подтвердить, группировка LulzSec известна своей эксплуатацией RFI-уязвимостей во время взломов, согласно исследователю из фирмы безопасности, который отказался назвать свое имя.
"Печально то, что четверть сайтов могут быть взломаны подобным образом. Настолько много сайтов имеют такие уязвимости", - сообщил он. "Хотя большая часть того, что было сказано об этом взломе всего лишь догадки".
Исследователь заявил, что большинство из того, что было сказано в отношении методов, которыми хакеры заполучили огромный дамп почты News International, было лишь "пустой болтовней".
Джейсон Стир, старший архитектор отраслевых решений в фирме Veracode, согласился, что RFI-уязвимость, вероятнее всего, была способом, посредством которого LulzSec удалось опубликовать вымышленную историю на Sun.
"Уязвимость достаточно хорошо описана. Она была представлена в списке OWASP top 10 в 2007 году и разработчикам не составит большого труда ее устранить", - сообщил он. "Если ты хакер, ты не пойдешь на нечто трудное и защищенное, скорее это будут более простые [относительно непропатченные] системы".
Джон Сток, старший консультант безопасности в Outpost 24, заявил, что 99% RFI-уязвимостей связаны с плохим программированием и что компаниям следует обращать больше внимания на сканирование своих систем с целью выявления таких уязвимостей.
"SQL-уязвимость несет негативные последствия, поскольку она может позволить хакерам извлечь данные, но включение сторонних файлов еще хуже. Ты можешь захватить сервер и получать доступ к данным", - сообщил он.
Сток призвал разработчиков проконсультироваться у OWASP относительно безопасных практик кодирования.
"Я считаю, что не следует выкладывать что-либо в интернет без проверки. News International потратила миллионы на свою безопасность, а услуги OWASP пока бесплатны".
Xakep.ru