Kategorie: IT, Hacking

Hack promonet.cz - jsou vaše kredity v bezpečí? - AKTUALIZOVÁNO

Jsem bloger, začátečník - zvažuji využití služeb některého reklamního portálu, našel jsem inzerát na aukro.cz - registroval se a koupil za pár kaček kredity - provedl jsem test bezpečnosti na portále jenž zprostředkovává výměnu reklamních ploch a odkazů. Jak dopadl se dozvíte v článku :o)


Autor: KdoSiOdJinud | Vydáno: 16.1.2009 15:21 | Přečteno: 12973x | Komentářů: 0
Jde o reklamní systém promonet.cz.

Jde o trivialitu kterou nebudu /zatím/ zveřejňovat - nejprve uvědomím administrátory, neboť jsem členem této "komunity"

Stejně tak jako přihlášení na libovolného uživatele, jde disponovat jeho kredity a plně spravovat jeho "systém"

Tady je přehled bannerů jednoho užvatele, tímto se mu omlouvám ;o)



Plná velikost zde

Admin účet:


Nyní tedy mohu prohlížet co kdo kdy v systému dělal, kdo kde a jak vystavuje reklamu, seznam uživatelů /díky tomu neni problém se na kohokoliv přihlásit/ i s informací kolik má kreditů - ty kdybych chtěl mohu přesměrovat kam chci - ale to mi neděláme...

Vím, že žádný systém není neprůstřelný, ale tato banalita by se mohla opravit!

Děkuji KdoSiOdJinud

Aktualizováno:
Dnes, to je den po oznámení chyby - je přihlášení opraveno, do cookies se namísto id a nicku uživatele /jedno ze slabých míst/ ukládá username a heslo /bohužel zatím v čitelném textu/ takže jakmile někdo spustí xss třebas ve foru, výsledkem bude seznam hesel a userů co na forum chodí > admin především. Mno snad není hashování tak složitá věc a "programator" stránek této možnosti brzy využije...

Komentáře rss

Pokud hledáte službu či máte dotaz mimo téma článku, využijte prosím sekci Nabídky / poptávky.


Nebyly přidány žádné komentáře.