1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Хакер нашел уязвимость, позволяющую взломать сайт Артемия Лебедева

Тема в разделе "Hack.News", создана пользователем admin, 6 фев 2017.

  1. admin
    admin Команда форума Админ
    Симпатии:
    27
    Эксперт по информационной безопасности Дмитрий Бумов, рассказал в своем блоге об уязвимости некоторых систем управления сайтом, благодаря которой можно получить доступ к административной панели без запроса логина и пароля, путем добавлении дополнительных символов в адресную строку. Судя по проведенным пользователям экспериментам, этот способ позволяет входить в панель управления достаточно крупных и известных ресурсов.

    Суть уязвимости заключается в следующем: при добавлении воспринимаемой в качестве пробела некоторыми серверами комбинации символов «%20» после слова «admin», автоматически открывается главная страница административной панели. Пока не очень понятно как работал этот баг и что за CMS имели подобную уязвимость. В некоторых случаях при помощи аналогичного приема можно получить и полный доступ к интерфейсу управления, добавляя те же символы в ответе сервера вручную.

    Блогер сообщил, что после обнаружения данной уязвимости в одном из сервисов Яндекса он указал компании на баг. После этого ошибка была исправлена, а эксперт получил вознаграждение. Однако в других системах управления аналогичная возможность для несанкционированного доступа в админ-панель по-прежнему доступна. В частности, один из читателей блога выложил скриншот главной страницы панели управления сайта студии Артемия Лебедева, который был получен при помощи описанного Бумовым способа.
    upload_2017-2-6_15-53-9.png

    Проводившие эксперименты пользователи отмечают, что в некоторых случаях при помощи описанного способа войти можно лишь на основную страницу панели управления, да и то далеко не на всех сайтах. Однако отдельными ресурсами до сих пор вполне можно управлять, всего лишь добавив пару символов в адресную строку.

    upload_2017-2-6_15-53-56.png
     
    6 фев 2017

Поделиться этой страницей

Загрузка...