Как выяснилось, Rafl's Chat содержит многочисленные дырки безопасности, начиная от просмотра скрытого пароля и до возможности "прочитать" конфигурацию CGI.

Master password:
CGI содержит дефолтовый мастер-пассворд (по умолчанию: mpw), если этот пароль вводит юзер, то он получает все права модератора/оператора.

Configuration reading:
Из-за отвратительных установок прав для различных пользователей хакер может прочитать файл config.pm, который среди прочих установок содержит мастер-пассворд.

Пример:
http://www.example.com/cgi-bin/config.pm

Установки пользователя:
Получая http://www.example.com/cgi-bin/data/nicks хакер может получить доступ к файлу конфигурации, который выглядит примерно так:

Daniel;;mypassword;;daniel@wischnewski.net;;Mon Jul 10 07:39:45 2000;;963240000;;10;;standard;;;;;;0;;;;149.225.26.75;;0

Test;;tester;;test@temp.com;;Mon Jul 10 09:05:12 2000;;963240000;;10;;standard;;;;;;0;;;;212.68.121.195;;0

Yet;;another;;yet@another.com;;Mon Jul 10 11:24:48 2000;;963240000;;10;;standard;;;;;;0;;;;198.195.137.145;;0

Как можно видеть, первое зарегистрированное имя было "Daniel", его пароль "mypassword", мыло "daniel@wischnewski.net", дата регистрации 10 Июля 07:39:45 pm, IP 149.225.26.75. Другие записи аналогичны.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии