[Moscow.pm] Как пароли находят?
Alex Shatlovsky
shatlovsky на gmail.com
Пн Июн 9 11:43:45 PDT 2008
Здравствуйте, Михаил.
Вы писали 9 июня 2008 г., 21:54:02:
> Юзеры начали жаловаться, что кто-то пишет от их имени в их же
> дневниках.
> Мы поизучали код, нашли несколько багов. Но ничего сильно критичного.
> Идеи, как найти возможную дыру кончились, и поэтому пишу сюда. Хакер
> корпел над сайтом возможно около недели. Есть идеи, как он мог пароли
> свистнуть?
1. SQL injection, это надо проверить первым делом. Может быть в самых
неожиданных местах
2. Внедрение кода через eval
3. Весь юзерский Upload
4. Кража админских паролей с машин разработчиков, взлом системы
--
> --
> С уважением,
> Михаил Монашёв, SoftSearch.ru
> mailto:postmaster на softsearch.ru
> ICQ# 166233339
> http://michael.mindmix.ru/
> Без бэкапа по жизни.
> --
> Moscow.pm mailing list
> moscow-pm на pm.org | http://moscow.pm.org
--
С уважением,
А.Н.Шатловский
Подробная информация о списке рассылки Moscow-pm