據來自Sucuri博客的消息，MySQL官方網站MySQL.com被SQL注入攻擊（blind SQL injection）。一篇博客文章（MySQL.com Vulnerable To Blind SQL Injection Vulnerability）披露了MySQL.com數據庫的漏洞及數據庫結構的dump部分。

Vulnerable Target ： http://mysql.com/customers/view/index.html?id=1170

Host IP ： 213.136.52.29

Web Server ： Apache/2.2.15 （Fedora）

Powered-by ： PHP/5.2.13

Injection Type ： MySQL Blind

Current DB ： web

攻擊者通過MySQL.com上查看用戶的頁面進入，獲取到了數據庫、表及存儲用戶密碼的dump數據（如何獲取并未公布）。如果你在MySQL.com有用戶，建議盡快更改密碼。

更嚴重的是，攻擊者將用戶密碼數據公布在網上讓其他人進行破解。更糟糕的是MySQL產品負責人的密碼已被破解（竟然是4位數字），blogs.mysql.com的多個用戶的密碼也被破解。

MYSQL官方目前沒有任何回應。

文章來源：http://www.cnbeta.com/articles/138456.htm

【編輯推薦】

1. SQL注入攻擊三部曲之入門篇
2. 研究員開發新技術 抵御SQL注入攻擊
3. Web下SQL注入攻擊的檢測與防御
4. 解析阻止或減輕SQL注入攻擊實用招數