Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (35.84 KB, 2 trang )
Hack VP-ASP SHOPPING
trang này đã được đọc lần
Lỗi này cực kỳ nguy hiểm, bởi vì có rất nhiều site shopping sử dụng phần mềm VP-ASP! Nếu 1
site bị lỗi này, hacker có thể:
+Nhìn thấy đường dẫn database/configuration
+Thay đổi đương dẫn của file database/configuration
+Download file database/configuration
+Đặc biệt: Login như administrator của (phần mềm) VP-ASP trên site đó, hoặc login với quyền
admin vào host của site đó ( nếu chúng bị thêm lỗi SQL injection ) với user và pw đều là
'or''='
....
Trong bài viết này mình sẽ không đi sâu vào hệ thống shopping này và những lỗ hổng cho phép
làm nhiều điều khác, mà rất đơn giản chỉ là hướng dẫn những bạn nào chưa biết một con đương
nhanh nhất để có thể download những file database chứa đầy credit card trong những site mắc
phải lỗi này!!
Đầu tiên vào search từ khoá "shopdisplaycategories". Các bạn sẽ thấy vô số
site dùng VP-ASP shopping! tuy nhiên nhiều site đã fix, và công việc của các bạn là dò tìm những
site chưa fix! các bạn có thể chọn bất cứ trang nào trong list site dùng phần mềm VP-ASP
shopping.Trong bài viết này mình chọn site làm victim!,khi tìm
thấy nó trên google click vào bạn sẽ thấy url:
Url này cho biết tất
cả những sản phẩm trên website shopping đó.
Công việc tiếp theo là chuyển url
thành url:
nghiã là thay
shopdisplaycategories.asp bằng shopdbtest.asp rồi click GO.Các bạn sẽ thấy màn hình hiển
thị như sau (Chú ý: nếu đã đi được đến đây rồi thì bạn có 70% cơ hội download được file
database)
Áp dụng công thức:
http:// [vp-asp site]/[vp-asp dir]/[ xDatabase +.mdb]