點選該網站「忘記密碼」功能
使用網站重設密碼,來重設admin
重新登入admin和重新的新密碼(成功)
2015年2月15日 星期日
[常見資安漏洞]使用google hacking找fckeditor漏洞
利用google hacking找尋fckeditor漏洞
語法:
site:target.com.tw inurl:fckeditor
出現相關頁面
出現異常頁面
利用拆解目錄原理,拆出fckeditor存放檔案路徑
例如:
/ctrl_house/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/asp/connector.asp
結論
fckeditor的功能仍被廣用於網站開發的編輯器功能,但該編輯器持續有被發現漏洞問題,若網站開發人員需使用該套件,應了解該套件上傳檔案的路徑,以及副檔名、目錄的權限控制,以防被駭客上傳web shell的最佳途徑。
語法:
site:target.com.tw inurl:fckeditor
出現相關頁面
出現異常頁面
利用拆解目錄原理,拆出fckeditor存放檔案路徑
例如:
/ctrl_house/FCKeditor/editor/filemanager/browser/default/browser.html?Connector=connectors/asp/connector.asp
結論
fckeditor的功能仍被廣用於網站開發的編輯器功能,但該編輯器持續有被發現漏洞問題,若網站開發人員需使用該套件,應了解該套件上傳檔案的路徑,以及副檔名、目錄的權限控制,以防被駭客上傳web shell的最佳途徑。
[常見資安漏洞]php程式碼外洩
php程式碼設定問題
某網站是利用php開發的,在php後加入?-s
即出現該網站全部程式碼
可能造成的影響:
1.該網站若有寫php寫入的資料庫ip,相關帳號、密碼,則可能因此被作為攻擊的對象
[常見資安漏洞]網站xss風險
利用弱掃工具找出目標網站的弱點
依結果顯示,該網站下page確有xss風險存在
測試目標網站page值
發現網頁參數在特殊符號下會有異常
測試xss語法後
出現相關的視窗畫面
結論:
該網站確有xss風險問題,若經駭客嘗試成功後,可將正常網域內外加惡意的字串,以竊取使用者的cookie或導致釣魚網站平台盜取使用者帳密
依結果顯示,該網站下page確有xss風險存在
發現網頁參數在特殊符號下會有異常
出現相關的視窗畫面
該網站確有xss風險問題,若經駭客嘗試成功後,可將正常網域內外加惡意的字串,以竊取使用者的cookie或導致釣魚網站平台盜取使用者帳密
[常見資安漏洞]index of問題
可籍由index of的問題,將網站架構曝露在使用者面前
goole hacking
site:target.com.tw index of/
找到符合結果的連結
該網站的架構,若有db連結的話,很容易被使用者猜測出路徑
goole hacking
site:target.com.tw index of/
找到符合結果的連結
該網站的架構,若有db連結的話,很容易被使用者猜測出路徑
訂閱:
文章 (Atom)