|
|
Знаете ли Вы, что ... | |
...для каждой темы существует свой раздел. Изучите структуру форума. Если соответствующего раздела нет, то всегда есть раздел "Разное" :) | |
<< Предыдущий совет - Случайный совет - Следующий совет >> |
UZ-CERT Отдел информационной безопасности ЕИ UZINFOCOM (cert.uz) |
Ответить |
|
Опции темы | Опции просмотра |
15.12.2012 22:32 | #1 | ||
Engineer
Сообщений: 509
+ 45
169/112
– 0
12/9
|
не буду приводить вектор атаки
а приведу часть данных из таблицы dle_users БД форума name, password, fullname admin, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!d8d4, Венера Nodir, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!fd8c, Нодир bem_news, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!086a, Венера (прим: !!! - намеренно скрытые символы)
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка |
||
|
Ответить |
16.12.2012 00:44 | #2 |
Сообщений: 967
+ 184
236/143
– 1
1/1
|
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.
Последний раз редактировалось Dmitry Paleev; 16.12.2012 в 00:46. |
|
Ответить |
16.12.2012 10:25 | #3 | |
Engineer
Сообщений: 509
+ 45
169/112
– 0
12/9
|
Цитата:
хотя все правильно заполнил сообщать это администраторам bem.uz или разработчикам сочел безполезным. Т.к. у них как бы есть защита от такого рода аттак, все тупо написано условием: если есть символ "'" в параметре $_GET(i) то вывести "Hacking attempt" иначе .... (нормальное отображение)И все что не входит в условие не являяется "Hacking attempt". Либо предположительно это сделано с целью причинить вред системе со стороны обиженного и уволенного сотрудника (web-мастера) (в случае если его уволили) На то и был (я думаю) открыт раздел "Информационная безопасность", что бы дать всем знать об уязвимом сайте, и опередить всяких UzAnonymous в и Alban цев которые (ничего не знают кроме как тупа использовать готовые инструменты и делать deface) ничего не умеют. Я думаю найдется профессиональный хакер, который обнаружив данную уязвимость будет использовать ее более эффективно и при это никто об этом ничего не узнает. Ну например Вы, как то зашли на сайт, а там 0-day exploit, ваш антивирус молчит, но ваш компьютер уже захвачен. Я лишь хотел всех об предупредить
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка Последний раз редактировалось insider; 16.12.2012 в 10:30. |
|
|
Ответить |
"+" от:
|
16.12.2012 11:39 | #5 |
Сообщений: 967
+ 184
236/143
– 1
1/1
|
Если возникают сложности с отправкой сообщений об инциденте с веб-сайта Службы UZ-CERT, Вы можете написать нам на электронный почтовый ящик cert@uzinfocom.uz. Ни одно Ваше сообщение не останется без внимания. Обязательно будут приняты соответствующие меры. Владельцев уязвимых ресурсов оповестим и окажем всяческое содействие и помощь по устранению уязвимостей и угроз информационной безопасности.
|
|
Ответить |
"+" от:
|
16.12.2012 14:11 | #8 |
Оффтоп: Щас нас тоже занесут в реестр запрещенных сайтов, за пропаганду...
__________________
http://lugat.uz/ - переводчики и словари (онлайн, Telegram и Android версии) |
|
|
Ответить |
"+" от:
|
|