Administracijos nulauzimas

Nespejau parasyti apie www.computer.lt, prisiminiau dar viena vakaro "gera darba" :)

Pastebejas www.computer.lt klaida, ivedziau i google tokia uzklausa: inurl:"product.php?pid="

Ismete daugybe e-commerce saitu :)

Uzejus i pirma saita supratau, kad jis pazeidziamas. (na neiskarto, bet po 10 sekundziu, kai ivedziau viena simboli :D )

Tolesni veiksmai buvo administracijos ieskojimas.

Tai uztruko taip pat kelias sekundes, nes dazniausiai naudojama tie patys adresai.

Suradus administracija ji buvo nulauzta :)

Na o dabar jusu dziaugsmui klaidos isnaudojimas:

Eikite http://aspireusa.net/admin/ (tai buvo pirmas googleje ismestas saitas)

I username ir password irasykite x' or 1='1' #

Sveikinu! jus adminas :D

P.S. Kas keisciausia, si klaida yra ir to skripto pardavinejimo saite! Dar paziurejus i jo kainas...

Aciu uz demesi :D

:) dafiga tokiu puslapiu. Uz cia postinama informacija gali gauti ispejima (pazeidzianti istatymus informacija (privati info)). Pranesk adminam ir baik zaisti.

EDIT: Tikiuosi beeidamas i admin panel bent koki proxy uzsimetes buvai... Paskambins tevam ir baba zaidimam.

EDIT, EDIT: nebutina cia postinti visu tavo bug`u, kaip eilinis skriptvaikis elgiesi. Jei kazkam idomu patys gali i bugtraq nueiti.

Bugtraq nera sio dalyko, todel parasiau. As nieko blogo nedariau tiesiog iejau i ten kur leistina (jei yra galimybe ieiti tai ir iejau, niekam nepakenkiau :) ), todel ir istatymai to nedraudzia. Beto jei skambintu tai skambintu tik man :)

Bugtraq nera sio dalyko, todel parasiau. As nieko blogo nedariau tiesiog iejau i ten kur leistina (jei yra galimybe ieiti tai ir iejau, niekam nepakenkiau :D ), todel ir istatymai to nedraudzia. Beto jei skambintu tai skambintu tik man :)

Visiskai nusisnekejai :) :) cia tas pats kas sakyti: jei buto durys atrakintos 'p##ik', kad ne mano gi istatymai 'nedraudzia' ieiti... Negi dabar vaiku nemoko per pilietini ar dar kazka, kad prie privataus asmens informacijos negalima lysti be sutikimo.

jei buto durys atrakintos 'p##ik' <-- siais laikais taip ir yra :)

Lietuvos istatymai -> LOL

Visokiuose bugtraq ir pns duodama ta pati informacija ka ir ash parasiau, tai reiskiasi ten viskas nelegalu, bet to saito neuzdaro.

Isvados: Daryk ka nori, tik nedaryk per daug :)

kasp3r, baik girtis savo juokingais sugebėjimais. Vot kai papostinsi screenų iš games.lt adminkės arba iš IGN.com VIP narių, tuomet ir patikėsime tamstos sugebėjimais.

Pastebėjimui, mano tie du paminėtieji saitai turi saugumo spragų, tad bet kuris šiek tiek daugiau nusimanantis žmogeliukas tokius paprastus dalykus padarytų niekų darbu, o kol tamstai tai tik nepasiekiamas everestas, tol geriau apie savo kakinimo galimybes patylekite. Panašiam šlamšui yra skirtas CbrLrds saitas, ten gali dėstyti savo mintis kiek tik nori...

suvarte...

suvarte...

tai, kad nera ka cia vartyti. :)

Issirutuliojo tema i tai lyg ash kazkuom pradejau girtis :)

"mano tie du paminėtieji saitai turi saugumo spragų" <- cia geras pastebejimas ;] Man idomu kaip be ju galima kazka padaryt? Nebent bruteforcinant.

Kazkiek suprantantis web programavima tai padaryti ka ash padariau yra labai lengva, todel as nesakiau stai paziurekit koks ash sustras. Beto niekas normalu darba atlikes nesiskelbtu :)

Bet pats kiek matau ozzWANTED kiekvienuose panasiuose postuose save per daug aukstini lyg sugebetum nulauzti kazka panasaus i pentagona. Taip kad geriau slepkis po pernyksciais lapais :)

Gerai suskeliau su lapais? :D

Issirutuliojo tema i tai lyg ash kazkuom pradejau girtis :)

"mano tie du paminėtieji saitai turi saugumo spragų" <- cia geras pastebejimas ;] Man idomu kaip be ju galima kazka padaryt? Nebent bruteforcinant.

 

Kazkiek suprantantis web programavima tai padaryti ka ash padariau yra labai lengva, todel as nesakiau stai paziurekit koks ash sustras. Beto niekas normalu darba atlikes nesiskelbtu :)

 

Bet pats kiek matau ozzWANTED kiekvienuose panasiuose postuose save per daug aukstini lyg sugebetum nulauzti kazka panasaus i pentagona. Taip kad geriau slepkis po pernyksciais lapais :D

 

Gerai suskeliau su lapais? :)

tai, kad tu vaikas visiskas script kiddie apie bruteforce`us kalbi :D cia manyciau tau po lapais reiketu sleptis, nes visiskos pievos.