[Moscow.pm] Как пароли находят?

[Alex Shatlovsky]

Здравствуйте, Михаил.

Вы писали 9 июня 2008 г., 21:54:02:

> Юзеры  начали  жаловаться,  что  кто-то  пишет  от  их  имени  в их же
> дневниках.

> Мы  поизучали код, нашли несколько багов. Но ничего сильно критичного.
> Идеи,  как  найти возможную дыру кончились, и поэтому пишу сюда. Хакер
> корпел  над сайтом возможно около недели. Есть идеи, как он мог пароли
> свистнуть?

1. SQL injection, это надо проверить первым делом. Может быть в самых
неожиданных местах
2. Внедрение кода через eval
3. Весь юзерский Upload
4. Кража админских паролей с машин разработчиков, взлом системы


--

> --

> С уважением,
> Михаил Монашёв, SoftSearch.ru
> mailto:postmaster на softsearch.ru
> ICQ# 166233339
> http://michael.mindmix.ru/
> Без бэкапа по жизни.

> --
> Moscow.pm mailing list
> moscow-pm на pm.org | http://moscow.pm.org



-- 
С уважением,
А.Н.Шатловский