Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > GLOBAL > Информационная безопасность > UZ-CERT
Знаете ли Вы, что ...
...инструкция по установке аватара описана в Правилах форума.
<< Предыдущий совет - Случайный совет - Следующий совет >>

UZ-CERT Служба реагирования на компьютерные инциденты / Computer Emergency Response Team (cert.uz). Раздел UZINFOCOM


Ответить

 
Опции темы Опции просмотра
Старый 15.12.2012 22:32   #1  
Аватар для insider
Оффлайн
Engineer
Сообщений: 511
+ 45  169/112
– 0  12/9

Uzbekistan
Exclamation bem.uz - SQL Injection

не буду приводить вектор атаки
а приведу часть данных из таблицы dle_users БД форума

name, password, fullname
admin, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!d8d4, Венера
Nodir, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!fd8c, Нодир
bem_news, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!086a, Венера

(прим: !!! - намеренно скрытые символы)
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка
Ответить 
Старый 16.12.2012 00:44   #2  
Real ID Group Администратор
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 958
+ 182  211/134
– 1  1/1

Uzbekistan
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.

Последний раз редактировалось Dmitry Paleev; 16.12.2012 в 00:46.
Ответить 
Старый 16.12.2012 10:25   #3  
Аватар для insider
Оффлайн
Engineer
Сообщений: 511
+ 45  169/112
– 0  12/9

Uzbekistan
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.
На Вашем сайте форма выдает мне что

хотя все правильно заполнил

сообщать это администраторам bem.uz или разработчикам сочел безполезным. Т.к. у них как бы есть защита от такого рода аттак, все тупо написано условием:
если есть символ "'" в параметре $_GET(i) то вывести "Hacking attempt" иначе .... (нормальное отображение)
И все что не входит в условие не являяется "Hacking attempt".
Либо предположительно это сделано с целью причинить вред системе со стороны обиженного и уволенного сотрудника (web-мастера) (в случае если его уволили)

На то и был (я думаю) открыт раздел "Информационная безопасность", что бы дать всем знать об уязвимом сайте, и опередить всяких UzAnonymous в и Alban цев которые (ничего не знают кроме как тупа использовать готовые инструменты и делать deface) ничего не умеют.

Я думаю найдется профессиональный хакер, который обнаружив данную уязвимость будет использовать ее более эффективно и при это никто об этом ничего не узнает. Ну например Вы, как то зашли на сайт, а там 0-day exploit, ваш антивирус молчит, но ваш компьютер уже захвачен.

Я лишь хотел всех об предупредить
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка

Последний раз редактировалось insider; 16.12.2012 в 10:30.
Ответить 
"+" от:
Старый 16.12.2012 11:19   #4  
Аватар для Ботир
Оффлайн
.....
AKA:Mr.White
Сообщений: 1,154
+ 471  292/189
– 82  58/38

UzbekistanОтправить сообщение для Ботир с помощью ICQ
не буду открывать новую тему. на avtech.uz тоже есть SQL инъекция поскорее бы закрыли мало ли.
__________________
www.Dota2.uz
Ответить 
Старый 16.12.2012 11:39   #5  
Real ID Group Администратор
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 958
+ 182  211/134
– 1  1/1

Uzbekistan
Если возникают сложности с отправкой сообщений об инциденте с веб-сайта Службы UZ-CERT, Вы можете написать нам на электронный почтовый ящик cert@uzinfocom.uz. Ни одно Ваше сообщение не останется без внимания. Обязательно будут приняты соответствующие меры. Владельцев уязвимых ресурсов оповестим и окажем всяческое содействие и помощь по устранению уязвимостей и угроз информационной безопасности.
Ответить 
"+" от:
Старый 16.12.2012 11:41   #6  
Заблокирован(а)
Аватар для 5barmak
Оффлайн
Сообщений: 4
+ 0  0/0
– 0  4/2

Uzbekistan
Оффтоп:
как научиться делать SQL инъекцию?
Ответить 
Старый 16.12.2012 12:59   #7  
Read Only
Аватар для Gebo
Оффлайн
"СайТ За еду" Ltd
Сторож еды
Сообщений: 6,105
+ 5,097  5,520/2,461
– 113  151/98

Uzbekistan
Оффтоп:
Цитата:
Сообщение от 5barmak Посмотреть сообщение
как научиться делать SQL инъекцию?
Купи шприц, набери в него воздуха и кольни себе в вену.
Ответить 
Реклама и уведомления
Старый 16.12.2012 14:11   #8  
Real ID Group
Аватар для Азизбек Кадыров
Оффлайн
Нукусский филиал ТУИТ
Преподаватель
AKA:censor2005
Сообщений: 981
+ 3,435  766/330
– 27  12/12

UzbekistanМой мирFacebook
Цитата:
Сообщение от Gebo Посмотреть сообщение
Купи шприц, набери в него воздуха и кольни себе в вену.
Оффтоп:
Щас нас тоже занесут в реестр запрещенных сайтов, за пропаганду...
__________________
http://lugat.uz/ - переводчики и словари (онлайн, Telegram и Android версии)
Ответить 
"+" от:
Старый 17.12.2012 09:14   #9  
Аватар для cateus
Оффлайн
Сообщений: 263
+ 448  133/75
– 105  19/14

Uzbekistan
Цитата:
Сообщение от 5barmak Посмотреть сообщение
Оффтоп:
как научиться делать SQL инъекцию?
Оффтоп:
Гугл в другом окне
Ответить 
Старый 17.12.2012 10:47   #10  
Real ID Group uParty Member Ultimate
Аватар для Djalolatdin Rakhimov
Оффлайн
AKA:dj
Сообщений: 23,577
+ 8,630  10,672/5,383
– 62  54/48

UzbekistanОтправить сообщение для Djalolatdin Rakhimov с помощью Skype™Аккаунт на Twitter
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.
Ну уже привлекает внимание и владельца ресурса и Церта. Дальше - дело техники.
Ответить 
"+" от:
Ответить
Опции темы
Опции просмотра




Здесь представлены форумы: UZINFOCOM, ЦППМП, ГКСИТТ, PC.UZ, Microsoft, IBM, HP, Fujitsu, D-Link, Intel, Ассоциация IT, InfoCOM.UZ, BANK.UZ, ActiveCloud, Sarkor Telecom, BUZTON, Cisco Systems, NetDec, EVO, Sharq Telekom, EPSON, Cron Telecom.
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
Центр UZINFOCOM


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх