|
ru.cgi.perl
- RU.CGI.PERL ------------------------------------------------------------------
From : Artem Chuprina 2:5020/400 30 Apr 2002 17:19:46
To : Alex Bachin
Subject : Re: Люди, будбте бдительны!
--------------------------------------------------------------------------------
Здравствуй, Alex Bachin.
>>AB> <<!-- -->!--#exec cmd="ls /">
AB> >Hу, покажут тебе /. Вот если на той машинке есть файлы, которые тому
AB> >серверу можно поудалять, то да, но ты сам сказал "считают очень
AB> >плохим скриптописателем".
AB> Hу так я не только команду "ls" знаю. И не только содержимое
AB> корня меня интересует. Понятно, что это не дает рутовые
AB> права на удаленном сервере, но как говорится, "дыра, в которую
AB> грузовик проедет"
Hе без этого... Hо опять же, если там после скрипта вывод SSI'ем парсится...
AB> >Опять же, при том же условии... Впрочем, баг я бы зарепортил.
AB> Файл с паролями на регистрацию книжки вылавливается на ура:
AB> craig||xxx||xxx||Craig Patchett||craig@patchett.com
AB> sdduncan||xxx||xxx||Shan Duncan||sdduncan@indiana.edu
AB> mattw||xxx||xxx||Matt Wright||mattw@worldwidemart.com
AB> и еще 10000 строк
AB> (я чуточку подсократил выдачу результатов, и вместо
AB> криптованых паролей подставил "xxx" - но John the Ripper
AB> рулит)
AB> из этих 10000 очень многие люди использовали
AB> для регистрации те же пароли, что и для своих емайлов - я
AB> парочку почтовых ящиков взломал, а потом призадумался -
AB> мало ли у меня своего спама в ящике, чтобы еще и чужой
AB> читать :))
AB> Так что сабж! Hе забывайте о безопасности! Своей и чужой!
А вот это уже повод для постинга в bugtraq... Сначала, правда, стоит авторам.
--
Artem Chuprina
Communiware.net
RFC2822: <ran@ran.pp.ru>, FIDO: 2:5020/358.49, ICQ: 13038757
--- ifmail v.2.15dev5
* Origin: Leninsky 45 home network (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
