Haxorwannabe?
Dzisiaj dla czytelników mojego bloga przygotowałem nie lada zabawę. Twoim zadaniem będzie "złamanie zabezpieczeń" na stronie pewnego radia.
W ostatnich wpisach z tej kategorii, kilka razy wspominałem o przypadkowych atakach i dość intuicyjnych nazwach kluczowych katalogów - szczególnie tych z panelem zarządzania stroną. Co może się stać, gdy wszystkie te "zabezpieczenia" skumulują się? Dzisiaj masz niepowtarzalną szansę sprawdzić to.
Zadanie
- Wejdź na stronę www.radiokampus.waw.pl,
- Przejdź do panelu zarządzania stroną,
- Zaloguj się do systemu (tak, musisz odgadnąć login i hasło) ;).
Zasady
Masz tylko jedną próbę ;)
Aktualizacja (13.08.2007): Administracja radia kampus już poradziła sobie z tą luką. Najpierw zmienili prawa dostępu do pliku index.php
, aż w końcu zmienili nazwę katalogu z panelem administracyjnym.
Rozwiązanie
Przeprowadzenie ataku tak naprawdę było dość proste (żeby nie powiedzieć banalne). Pierwszym błędem było osadzenie panelu w katalogu admin/
. Drugim błędem była autoryzacja, która umożliwiała zalogowanie na użytkownika admin
, podając jako hasło dowolny ciąg znaków ;).
Komentarze 3
One shot - one dead!
Trafiłem od razu :D
A potem jeszcze kilka innym kombinacji login + hasło
LOL
rotfl ^ ^
Ja to chyba jakaś lama jestem, bo sie dostac nie moge. ;/ Może ktoś chętny podpowiedzieć?