Легка здобич кардера [1], або Доступ до бази даних системи Q-Shop
LwB Security Team
= ------------------------------------------- =
-written durito
-e-mail: [email protected]
-http: //www.lwbteam.org
-date: 21/01/2004
-Comments: Інформація надана тільки
для ознайомлення і розглядається,
як посібник для адміністраторів,
дана стаття не є
керівництвом до дії.
Ми не несемо відповідальності за
збиток, досконалий читачами
цієї статті, і за протизаконне
використання наданої
нами інформації
= ------------------------------------------- =
- = Легка здобич кардера [1], або Доступ до бази даних системи Q-Shop = -
У цій статті я опишу використання уразливості в системі Q-Shop
на прикладі доступу до бази даних в qshop.chexsite.com
Особливістю даної системи електронної комерції є те, що при
наявності дурного адміна, база даних магазину доступна будь-якому
віддаленому користувачеві. використовуючи наступний
URL цей лиходій, може отримати доступ до бази даних:
http: // [target] /db/store.mdb
Тепер для тих, хто не зрозумів.
йдемо по Силка:
http://qshop.chexsite.com/db/store.mdb
Качаємо базу, вона соответсвенно запаролено.
Тому нам потрібна програма Cain з http://www.oxid.it/
У ній є дуже непоганий access decoder, який покаже нам пароль на базу.
В даному випадку пароль: qs1898
Вводиш його і ти в базі, тільки одна проблема в цій базі немає номерів сс.
Але ж є й інші Q-Shop.
Copyright 2002-2004 by LwB Security Team. All rights reserved.
Коментарі
Коментуючи, пам'ятайте про те, що зміст і тон Вашого повідомлення можуть зачіпати почуття реальних людей, проявляйте повагу та толерантність до своїх співрозмовників навіть у тому випадку, якщо Ви не поділяєте їхню думку, Ваша поведінка за умов свободи висловлювань та анонімності, наданих інтернетом, змінює не тільки віртуальний, але й реальний світ. Всі коменти приховані з індексу, спам контролюється.