Rainis te iesūtīja vienu interesantu stāstiņu:
shodien sanaaca man atklaat bagu ieksh PtokaX DC Hub 0.3.2.4 IceCube III
Fix3 (noteikti jau, ka vecs un visiem, kas ar to nodarbojas, zinaams) ,
pavisam nejaushi ieveerteejot viena dzheka habu pamaniiju, ka vinjam
webserveris uz kastes arii un pie tam ar pavisam ekskluziivu nosaukumu
“ptokax-webserver” 🙂
apskatiiju sho augstaakmineeto serveri tuvaak un atklajaas, ka vinjam
piemiit taads bugs, kursh ljauj, izmantojot “..” nokljut uz augstaku
direktoriju.
samekleeju ptokax haba softu un atklaaju ka userneimi un paroles glabaajas
ieksh registeredusers.dat, luuk kas man sanaaca 81.198.*.*/../../registeredusers.dat
tas gan bija mazins hubs, pastastiju ipasniekam kas par lietaam un viss okej
pec tam ar vel vienu habu tapat izdariju, bet ari tas ir mazins un nav tik butiski, tachu luuk, kaa pieradijumu atstaju 2 lielakus habus
darkness – http://217.199.123.88/../../registeredusers.dat
un
garfild – http://garfild.valsts.lv/../../registeredusers.dat
ja haba settingos atsledz “Enable webserver” vai kaut kaa tamlidzigi, tad, protams, pie shiim te lietaam shaadaa veidaa tikt nevar
ak jaa tas bags ar “..” skjiet saucas directory traversal un, protams, taa var piekljuut ne tikai juzerneimiem un paroleem