Моё меню Общее меню Пользователи Правила форума Все прочитано
Вернуться   uForum.uz > ИКТ и телеком > Информационная безопасность > UZ-CERT
Знаете ли Вы, что ...
...до того как открыть новую тему, стоит использовать поиск: такая тема уже может существовать.
<< Предыдущий совет - Случайный совет - Следующий совет >>

UZ-CERT Отдел информационной безопасности ЕИ UZINFOCOM (cert.uz)


Ответить

 
Опции темы Опции просмотра
Старый 15.12.2012 22:32   #1  
Аватар для insider
Оффлайн
Engineer
Сообщений: 509
+ 45  169/112
– 0  12/9

Uzbekistan
Exclamation bem.uz - SQL Injection

не буду приводить вектор атаки
а приведу часть данных из таблицы dle_users БД форума

name, password, fullname
admin, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!d8d4, Венера
Nodir, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!fd8c, Нодир
bem_news, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!086a, Венера

(прим: !!! - намеренно скрытые символы)
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка
Ответить 
Старый 16.12.2012 00:44   #2  
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 967
+ 184  236/143
– 1  1/1

Uzbekistan
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.

Последний раз редактировалось Dmitry Paleev; 16.12.2012 в 00:46.
Ответить 
Старый 16.12.2012 10:25   #3  
Аватар для insider
Оффлайн
Engineer
Сообщений: 509
+ 45  169/112
– 0  12/9

Uzbekistan
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.
На Вашем сайте форма выдает мне что

хотя все правильно заполнил

сообщать это администраторам bem.uz или разработчикам сочел безполезным. Т.к. у них как бы есть защита от такого рода аттак, все тупо написано условием:
если есть символ "'" в параметре $_GET(i) то вывести "Hacking attempt" иначе .... (нормальное отображение)
И все что не входит в условие не являяется "Hacking attempt".
Либо предположительно это сделано с целью причинить вред системе со стороны обиженного и уволенного сотрудника (web-мастера) (в случае если его уволили)

На то и был (я думаю) открыт раздел "Информационная безопасность", что бы дать всем знать об уязвимом сайте, и опередить всяких UzAnonymous в и Alban цев которые (ничего не знают кроме как тупа использовать готовые инструменты и делать deface) ничего не умеют.

Я думаю найдется профессиональный хакер, который обнаружив данную уязвимость будет использовать ее более эффективно и при это никто об этом ничего не узнает. Ну например Вы, как то зашли на сайт, а там 0-day exploit, ваш антивирус молчит, но ваш компьютер уже захвачен.

Я лишь хотел всех об предупредить
__________________
Мы не возьмём его в зоопарк. ... Неизвестный науке зверь !!! (с) Чебурашка

Последний раз редактировалось insider; 16.12.2012 в 10:30.
Ответить 
"+" от:
Старый 16.12.2012 11:19   #4  
Аватар для Ботир
Оффлайн
.....
AKA:Mr.White
Сообщений: 1,162
+ 474  292/189
– 82  64/40

UzbekistanОтправить сообщение для Ботир с помощью ICQ
не буду открывать новую тему. на avtech.uz тоже есть SQL инъекция поскорее бы закрыли мало ли.
Ответить 
Старый 16.12.2012 11:39   #5  
Аватар для Dmitry Paleev
Оффлайн
Сообщений: 967
+ 184  236/143
– 1  1/1

Uzbekistan
Если возникают сложности с отправкой сообщений об инциденте с веб-сайта Службы UZ-CERT, Вы можете написать нам на электронный почтовый ящик cert@uzinfocom.uz. Ни одно Ваше сообщение не останется без внимания. Обязательно будут приняты соответствующие меры. Владельцев уязвимых ресурсов оповестим и окажем всяческое содействие и помощь по устранению уязвимостей и угроз информационной безопасности.
Ответить 
"+" от:
Старый 16.12.2012 11:41   #6  
Заблокирован(а)
Аватар для 5barmak
Оффлайн
Сообщений: 4
+ 0  0/0
– 0  4/2

Uzbekistan
Оффтоп:
как научиться делать SQL инъекцию?
Ответить 
Старый 16.12.2012 12:59   #7  
Read Only
Аватар для Gebo
Оффлайн
"СайТ За еду" Ltd
Сторож еды
Сообщений: 6,092
+ 5,084  5,502/2,454
– 113  149/96

Uzbekistan
Оффтоп:
Цитата:
Сообщение от 5barmak Посмотреть сообщение
как научиться делать SQL инъекцию?
Купи шприц, набери в него воздуха и кольни себе в вену.
Ответить 
Реклама и уведомления
Старый 16.12.2012 14:11   #8  
Real ID Group
Аватар для Азизбек Кадыров
Оффлайн
Uzinfocom
AKA:censor2005
Сообщений: 1,279
+ 3,546  939/425
– 40  26/25

UzbekistanМой мирFacebook
Цитата:
Сообщение от Gebo Посмотреть сообщение
Купи шприц, набери в него воздуха и кольни себе в вену.
Оффтоп:
Щас нас тоже занесут в реестр запрещенных сайтов, за пропаганду...
__________________
http://lugat.uz/ - переводчики и словари (онлайн, Telegram и Android версии)
Ответить 
"+" от:
Старый 17.12.2012 09:14   #9  
Аватар для cateus
Оффлайн
Сообщений: 262
+ 447  133/75
– 105  19/14

Uzbekistan
Цитата:
Сообщение от 5barmak Посмотреть сообщение
Оффтоп:
как научиться делать SQL инъекцию?
Оффтоп:
Гугл в другом окне
Ответить 
Старый 17.12.2012 10:47   #10  
Real ID Group uParty Member Ultimate
Аватар для Djalolatdin Rakhimov
Оффлайн
AKA:dj
Сообщений: 23,604
+ 8,711  10,751/5,416
– 62  55/49

UzbekistanОтправить сообщение для Djalolatdin Rakhimov с помощью Skype™Аккаунт на Twitter
Цитата:
Сообщение от Dmitry Paleev Посмотреть сообщение
Не совсем понятно, кому и что Вы этим хотели показать или доказать? Обнаружили уязвимость - сообщите владельцам ресурса. Либо как вариант, можете написать в Службу UZ-CERT с указанием на скрипт где возможна SQL инъекция. Поможем пофиксить.
Ну уже привлекает внимание и владельца ресурса и Церта. Дальше - дело техники.
Ответить 
"+" от:
Ответить
Опции темы
Опции просмотра




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot
Advertisement System V2.5 By Branden
OOO «Единый интегратор UZINFOCOM»


Новые 24 часа Кто на форуме Новички Поиск Кабинет Все прочитано Вверх