1. Теперь за форумную активность начисляются биткоины и другие криптоденьги. Подробнее.
    Скрыть объявление
  2. Появилась архивная версия форума arhiv.xaker.name, где собраны темы с 2007 по 2012 год.
    Скрыть объявление

Хакер нашел уязвимость, позволяющую взломать сайт Артемия Лебедева

Тема в разделе "Hack.News", создана пользователем admin, 6 фев 2017.

  1. admin
    admin Команда форума Админ
    Симпатии:
    27
    Эксперт по информационной безопасности Дмитрий Бумов, рассказал в своем блоге об уязвимости некоторых систем управления сайтом, благодаря которой можно получить доступ к административной панели без запроса логина и пароля, путем добавлении дополнительных символов в адресную строку. Судя по проведенным пользователям экспериментам, этот способ позволяет входить в панель управления достаточно крупных и известных ресурсов.

    Суть уязвимости заключается в следующем: при добавлении воспринимаемой в качестве пробела некоторыми серверами комбинации символов «%20» после слова «admin», автоматически открывается главная страница административной панели. Пока не очень понятно как работал этот баг и что за CMS имели подобную уязвимость. В некоторых случаях при помощи аналогичного приема можно получить и полный доступ к интерфейсу управления, добавляя те же символы в ответе сервера вручную.

    Блогер сообщил, что после обнаружения данной уязвимости в одном из сервисов Яндекса он указал компании на баг. После этого ошибка была исправлена, а эксперт получил вознаграждение. Однако в других системах управления аналогичная возможность для несанкционированного доступа в админ-панель по-прежнему доступна. В частности, один из читателей блога выложил скриншот главной страницы панели управления сайта студии Артемия Лебедева, который был получен при помощи описанного Бумовым способа.
    Хакер нашел уязвимость, позволяющую взломать сайт Артемия Лебедева

    Проводившие эксперименты пользователи отмечают, что в некоторых случаях при помощи описанного способа войти можно лишь на основную страницу панели управления, да и то далеко не на всех сайтах. Однако отдельными ресурсами до сих пор вполне можно управлять, всего лишь добавив пару символов в адресную строку.

    Хакер нашел уязвимость, позволяющую взломать сайт Артемия Лебедева
     
    6 фев 2017

Поделиться этой страницей

Загрузка...