Tải bản đầy đủ (.doc) (2 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Hack VP-ASP SHOPPING

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (35.84 KB, 2 trang )

Hack VP-ASP SHOPPING
trang này đã được đọc lần
Lỗi này cực kỳ nguy hiểm, bởi vì có rất nhiều site shopping sử dụng phần mềm VP-ASP! Nếu 1
site bị lỗi này, hacker có thể:
+Nhìn thấy đường dẫn database/configuration
+Thay đổi đương dẫn của file database/configuration
+Download file database/configuration
+Đặc biệt: Login như administrator của (phần mềm) VP-ASP trên site đó, hoặc login với quyền
admin vào host của site đó ( nếu chúng bị thêm lỗi SQL injection ) với user và pw đều là
'or''='
....
Trong bài viết này mình sẽ không đi sâu vào hệ thống shopping này và những lỗ hổng cho phép
làm nhiều điều khác, mà rất đơn giản chỉ là hướng dẫn những bạn nào chưa biết một con đương
nhanh nhất để có thể download những file database chứa đầy credit card trong những site mắc
phải lỗi này!!
Đầu tiên vào search từ khoá "shopdisplaycategories". Các bạn sẽ thấy vô số
site dùng VP-ASP shopping! tuy nhiên nhiều site đã fix, và công việc của các bạn là dò tìm những
site chưa fix! các bạn có thể chọn bất cứ trang nào trong list site dùng phần mềm VP-ASP
shopping.Trong bài viết này mình chọn site làm victim!,khi tìm
thấy nó trên google click vào bạn sẽ thấy url:
Url này cho biết tất
cả những sản phẩm trên website shopping đó.
Công việc tiếp theo là chuyển url
thành url:
nghiã là thay
shopdisplaycategories.asp bằng shopdbtest.asp rồi click GO.Các bạn sẽ thấy màn hình hiển
thị như sau (Chú ý: nếu đã đi được đến đây rồi thì bạn có 70% cơ hội download được file
database)

Áp dụng công thức:
http:// [vp-asp site]/[vp-asp dir]/[ xDatabase +.mdb]


Ta thấy trong ví dụ này:
+[vp-asp site] là
+[ vp-asp dir] là shopping
+[ xDatabase +.mdb ] là shoping.mdb
Vậy ta có thể dowload database tại url:

Màn hình hỏi save hay open! thành công rồi đó! xin chúc mừng!
Save vào đĩa cứng xong , bạn dùng chương trình microsoft-access 2000 ( nằm trong bộ microsoft-
office) để mở file shopping.mdb. Bạn sẽ thấy rất nhiều tab:
thông thường những thông tin trong tab oder là những thông tin mà chúng ta cần tìm kiếm
(CC), click lên tab để view:
hê hê.. công việc còn lại là mở trang Yahoo lên , login rồi thử upgrate hộp thư của bạn lên 10MB xem
sao :-))

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×