Hack VP-ASP SHOPPING

Chia sẻ: Vietnam 9h | Ngày: | Loại File: DOC | Số trang:2

Thêm vào BST

Báo xấu

172
lượt xem 23
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Lỗi này cực kỳ nguy hiểm, bởi vì có rất nhiều site shopping sử dụng phần mềm VP-ASP! Nếu 1 site bị lỗi này, hacker có thể: +Nhìn thấy đường dẫn database/configuration +Thay đổi đương dẫn của file database/configuration +Download file database/configuration +Đặc biệt: Login như administrator của (phần mềm) VP-ASP trên site đó, hoặc login với quyền admin vào host của site đó ( nếu chúng bị thêm lỗi SQL injection ) với user và pw đều là 'or''=' .......

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Hack VP-ASP SHOPPING

Hack VPASP SHOPPING trang này đã được đọc lần Lỗi này cực kỳ nguy hiểm, bởi vì có rất nhiều site shopping sử dụng phần mềm VPASP! Nếu 1 site bị lỗi này, hacker có thể: +Nhìn thấy đường dẫn database/configuration +Thay đổi đương dẫn của file database/configuration +Download file database/configuration +Đặc biệt: Login như administrator của (phần mềm) VPASP trên site đó, hoặc login với quyền admin vào host của site đó ( nếu chúng bị thêm lỗi SQL injection ) với user và pw đều là 'or''=' .... Trong bài viết này mình sẽ không đi sâu vào hệ thống shopping này và những lỗ hổng cho phép làm nhiều điều khác, mà rất đơn giản chỉ là hướng dẫn những bạn nào chưa biết một con đương nhanh nhất để có thể download những file database chứa đầy credit card trong những site mắc phải lỗi này!! Đầu tiên vào http://google.com search từ khoá "shopdisplaycategories". Các bạn sẽ thấy vô số site dùng VPASP shopping! tuy nhiên nhiều site đã fix, và công việc của các bạn là dò tìm những site chưa fix! các bạn có thể chọn bất cứ trang nào trong list site dùng phần mềm VPASP shopping.Trong bài viết này mình chọn site http://www.theqproject.com làm victim!,khi tìm thấy nó trên google click vào bạn sẽ thấy url: http://www.theqproject.com/shopping/shopdisplaycategories.asp Url này cho biết tất cả những sản phẩm trên website shopping đó. Công việc tiếp theo là chuyển url http://www.theqproject.com/shopping/shopdisplaycategories.asp thành url: http://www.theqproject.com/shopping/shopdbtest.asp nghiã là thay shopdisplaycategories.asp bằng shopdbtest.asp rồi click GO.Các bạn sẽ thấy màn hình hiển thị như sau (Chú ý: nếu đã đi được đến đây rồi thì bạn có 70% cơ hội download được file database) Áp dụng công thức: http:// [vpasp site]/[vpasp dir]/[ xDatabase +.mdb] Ta thấy trong ví dụ này: +[vpasp site] là http://www.theqproject.com +[ vpasp dir] là shopping +[ xDatabase +.mdb ] là shoping.mdb Vậy ta có thể dowload database tại url: http://www.theqproject.com/shopping/shoping.mdb Màn hình hỏi save hay open! thành công rồi đó! xin chúc mừng!
Save vào đĩa cứng xong , bạn dùng chương trình microsoftaccess 2000 ( nằm trong bộ microsoft office) để mở file shopping.mdb. Bạn sẽ thấy rất nhiều tab: thông thường những thông tin trong tab oder là những thông tin mà chúng ta cần tìm kiếm (CC), click lên tab để view: hê hê.. công việc còn lại là mở trang Yahoo lên , login rồi thử upgrate hộp thư của bạn lên 10MB xem sao :))

CÓ THỂ BẠN MUỐN DOWNLOAD