[OBRAZ] Paweł Jabłoński (redaktor serwisu hacking.pl), wraz z drugą osobą zajmującą się bezpieczeństwem sieci z Gdańska, pragnącą zachować anonimowość wykryli w serwisie nazwa.pl błąd, umożliwiający uzyskanie dostępu do poufnych danych klientów serwisu nazwa.pl.
Błąd ten można wykorzystać dopiero po zalogowaniu się do serwisu (co nie jest problemem, gdyż każdy może założyć sobie konto w serwisie nazwa.pl, klikając na link: https://nazwa.pl/rejestracja.php i logować się przy użyciu podanego przy rejestracji loginu i hasła).
Następnie wpisując w oknie przeglądarki link:
https://nazwa.pl/panel_payment.php?s=faktura&id=XXXXX
gdzie XXXXX to numer faktury w bazie danych (XXXXX - dowolna wartość) możemy przeglądać wszystkie dostępne w bazie danych faktury klientów serwisu nazwa.pl zawierająca takie dane jak numery faktur, adresy domowe klientów, domeny przez nich posiadane itd. Przykład na załączonym screenie.
Podejrzewamy iż podobnych błędów jest w serwisie nazwa.pl dużo więcej, jednak nie prowadziliśmy bardziej szczegółowego dochodzenia. Wyżej wymieniony błąd został naprawiony przez administrację nazwa.pl po otrzymaniu e-maila z wiadomością o wykryciu tegoż niedopatrzenia.
Screen przedstawiający luki w serwisie
Błędy w panelu administracyjnym Nazwa.pl
Zabezpieczenia |
Pon, 12 Lip 2004 19:21:36 +0200 |
Autor:
Redakcja
| Czytań: 5497
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.