Αυτοματοποιημένη αναζήτηση αδυναμιών [pls RT and/or Share]
Αλήθεια, πόσες φόρες έχετε ακούσει/διαβάσει μια φράση του στιλ “Παραβιάστηκαν 500 ιστοσελίδες σε μια μέρα” ή κάτι παρόμοιο; Είμαστε σίγουροι πολλές. Εντάξει, αν όχι πολλές, τότε αρκετές. Έχετε ποτέ αναρωτηθεί, πώς μπορεί να γίνει κάτι τέτοιο;
Τις προάλλες, καθώς περιπλανιόμουν στο exploit-db.com πίνοντας το φραπεδάκι μου, έπεσα πάνω στο “PHP Support Tickets v2.2 Code Exec”. Μου φάνηκε ενδιαφέρον και σαν περίεργο πλάσμα που είμαι από την φύση μου, είπα να το ψάξω καμπόσο. Δεν θα σας πω ψέματα! Η συγκεκριμένη ευπάθεια και η εκμετάλλευσή της είναι παρόμοιες με αυτές που παρουσιάστηκαν στο τεύχος 001 του deltaHacker, στο θέμα “Μίνι Διαγωνισμός CTF”. Για όσους δεν θυμούνται, να πούμε ότι εξαιτίας μιας ευπάθειας στο αρχείο tiki-graph_formula.php ήταν δυνατή η εκτέλεση εντολών στον server, μέσω ενός browser και ενός κατάλληλα κατασκευασμένου URL.
[…]
Σε αυτό το άρθρο παρουσιάζουμε ένα προγραμματάκι γραμμένο σε Perl, το οποίο αυτοματοποιεί την επίθεση σε server που πάσχουν από τη συγκεκριμένη αδυναμία. Το πρόγραμμα δέχεται μια λίστα από site κι ελέγχει αν το καθένα είναι ευπαθές. Αν βρεθούν ευπαθή site στη λίστα, παρουσιάζονται οι κατάλογοι που έχουν “χαλαρά” δικαιώματα κι ο χρήστης καλείται να εισαγάγει τρία στοιχειά…
Διαβάστε ολόκληρο το άρθρο στο deltaHacker Φεβρουαρίου (τεύχος 005).
Για αγορές τευχών ή συνδρομών στο περιοδικό deltaHacker, απλά συμπληρώστε τη φόρμα. [Πλέον δεχόμαστε και PayPal]
Σημείωση: Οι συνδρομές μπορούν ν’ αρχίζουν από όποιο τεύχος επιθυμείτε, αρκεί να υπάρχει σε stock.
Το deltaHacker είναι το μοναδικό, μηνιαίο συνδρομητικό περιοδικό με θεματολογία ethical hacking και infosec που δεν κυκλοφορεί στα περίπτερα. Αν δεν το διαβάζετε ακόμα, κάτι μας λέει ότι σύντομα θ’ αρχίσετε. Εκτός δηλαδή κι αν δεν αγαπάτε πολύ-πολύ-πολύ τον υπολογιστή σας, ούτε την τεχνολογία :S
