Să hacker-im edu.ro

Dacă tot vorbeam de SIVECO, uite încă un articol interesant. Despre un portal (edu.ro) aparținând Ministerului Educației, creat de firma menționată mai sus:

http://hackersblog.org/2009/02/03/compromiterea-serverului-portaleduro-prin-lfi/

In aceasta dimineata o sa vorbim despre portalul edu.ro creat de SIVECO Romania S.A.

Acesta sufera de o vulnerabilitate de tip Local File Inclusion, adica, putem include orice fisier de pe server pentru a fi executat ca si php, limitati fiind numai de userul sub care ruleaza serverul de HTTP.

[…]

Astfel codul nostru php este executat si rezultatul dupa cum vedeti mai jos, full access asupra serverului(baze de date, fisiere cu informatii sensibile, etc.)

Dacă vă plictisiți, aveți acolo instrucțiuni pas cu pas despre cum se poate executa atacul (din fericire nu sunt atât de detaliate încât să le poată urma oricine – trebuie să știi un pic de PHP 🙂 ). Informațiile sunt furnizate în scop educativ, și „nu ne asumăm nici o responsabilitate pentru eventuale pagube cauzate de folosirea acesteia de catre cititorii noștri”. 😉

Credits go to LifeTester for this one 🙂

1 Comment »

  1. AlexJ Said,

    February 3, 2009 @ 20:12

    dacă tot esti pe site-ul acela, http://hackersblog.org/2009/02/02/ejobsro-si-peste-1300000-de-conturi-cu-date-personale/

RSS feed for comments on this post · TrackBack URI

Leave a Comment