3 Bezpieczeństwo stron WWW 3 minuty czytania

Haxorwannabe?

Dzisiaj dla czytelników mojego bloga przygotowałem nie lada zabawę. Twoim zadaniem będzie "złamanie zabezpieczeń" na stronie pewnego radia.

W ostatnich wpisach z tej kategorii, kilka razy wspominałem o przypadkowych atakach i dość intuicyjnych nazwach kluczowych katalogów - szczególnie tych z panelem zarządzania stroną. Co może się stać, gdy wszystkie te "zabezpieczenia" skumulują się? Dzisiaj masz niepowtarzalną szansę sprawdzić to.

Zadanie

  1. Wejdź na stronę www.radiokampus.waw.pl,
  2. Przejdź do panelu zarządzania stroną,
  3. Zaloguj się do systemu (tak, musisz odgadnąć login i hasło) ;).

Zasady

Masz tylko jedną próbę ;)

Aktualizacja (13.08.2007): Administracja radia kampus już poradziła sobie z tą luką. Najpierw zmienili prawa dostępu do pliku index.php, aż w końcu zmienili nazwę katalogu z panelem administracyjnym.

Rozwiązanie

Przeprowadzenie ataku tak naprawdę było dość proste (żeby nie powiedzieć banalne). Pierwszym błędem było osadzenie panelu w katalogu admin/. Drugim błędem była autoryzacja, która umożliwiała zalogowanie na użytkownika admin, podając jako hasło dowolny ciąg znaków ;).




Akceptuję politykę prywatności

Raz w miesiącu e-mail z najlepszymi artykułami

Zdjęcie autora wpisu - Piotr Cichosz

Piotr Cichosz — autor wpisu

Frontend developer. Tworzę zaawansowane systemy webowe w JS. Swoją wiedzę nt. SEO wykorzystuję do rozwijania własnych projektów (z lepszym lub gorszym efektem). Dużo eksperymentuję i staram się określić jak bardzo można nagiąć cierpliwość algorytmów Google (:. Prowadzę teraz bloga technologicznego oraz bloga o Apple

Komentarze 3

author Michał Mech www 10.08.2007 12:25:54

One shot - one dead!

Trafiłem od razu :D
A potem jeszcze kilka innym kombinacji login + hasło
LOL

author kamilb www 10.08.2007 16:14:11

rotfl ^ ^

author bim www 11.08.2007 17:25:49

Ja to chyba jakaś lama jestem, bo sie dostac nie moge. ;/ Może ktoś chętny podpowiedzieć?

Dodaj komentarz