Kategorie: IT, Hacking

Moto-inzerce.cz - hacknuto! Chcete motorku? - AKTUALIZOVÁNO

Předchozí hacky se týkaly hlavně vložení zákeřného scriptu do stránky, tím jsem dosáhl editace vzhledu - díky sessions ale né přístup. Což takhle najít jinačí zranitelnost? Stačí málo... V kolenou se podlomil hned první web, čtěte dále...

Autor: KdoSiOdJinud | Vydáno: 18.1.2009 18:01 | Přečteno: 12848x | Komentářů: 0
Vystavování svého inzerátu na internetu se mnohdy vyplatí, ale co když je dovoleno téměř každému editovat vámi vložený inzerát?

Na moto-inzerce.cz je inzerátu skutešně mnoho, web vypadá vzhledově jako vyspělý, ale opak je pravdou. Díky informacím z inzerátu a trochu / opravdu trochu / umu se nám podaří přihlásit na editaci jakéhokoliv inzerátu, který můžeme následně uložit s jinými informacemi než majitel zamýšlel...

Přihlášení trvá několik málo vteřin! Je tak snadné, že zde prozatím nebudu psát postup - odesílám varování administrátorům a těším se na jejich odpověď...

Zrádný přihlašovací formulář:


Aktualizováno:
Dnes, dva dny po oznámení chyby je chyba opravena - formulář k editaci byl náchylný na jednoduchou sql injection ;o)

Komentáře rss

Pokud hledáte službu či máte dotaz mimo téma článku, využijte prosím sekci Nabídky / poptávky.


Nebyly přidány žádné komentáře.