«Белый хакер» рассказал о возможности открыть «админку» магазина «Студии Лебедева» и других сайтов при помощи «символа пробела» Статьи редакции

Специалист по безопасности компании ONsec Дмитрий Бумов рассказал в своём блоге, что при помощи символа пробела в адресной строке (%20) можно получить доступ к интерфейсу главной страницы администрационной панели некоторых сайтов.

Сервера могут по-разному воспринимать присланную пользователем информацию. Общепринято, что %20 или знак + в параметрах принимается за пробел. Запрос на директорию /folder/test/%2e%2e/page — нормализуется до /folder/page, ибо %2e — точка в urlencode.

— Дмитрий Бумов

Бумов рассказал, что однажды обнаружил возможность получить доступ к интерфейсу административной панели одного из поддоменов «Яндекса», добавив при обращении к директории «/admin/» знак пробела (%20).

«Внутренние ссылки заново просили логин и пароль, однако, подменив вхождение строки "/admin/" в ответе сервера на "/admin%20/", админкой можно было пользоваться», — утверждает Бумов.

По его словам, позднее он сообщил об этом «Яндексу», и уязвимость была устранена.

Digital-директор компании Hydrop Артём Пиковский на своей странице в Facebook опубликовал скриншот интерфейса административной панели магазина «Студии Артемия Лебедева». В разговоре с vc.ru он пояснил, что на это обратил внимание один из пользователей, прочитавших об уязвимости в блоге Бумова.

Редакции vc.ru в ходе эксперимента также удалось получить доступ к главным страницам административной панели нескольких организаций. При попытке перейти по внутренним ссылкам сайты требовали ввести логин и пароль. При этом добавление символа пробела не всегда решает проблему, а на некоторых сайтах вовсе не работает.

Интерфейс административной панели магазина «Студии Артемия Лебедева»
Интерфейс административной панели проекта NASA EarthData
0
22 комментария
Написать комментарий...
Артем Пиковский

Я рассказал, как бум рассказал мне, как его читатель заюзал его метод)))

Ответить
Развернуть ветку
Vladislav Arbatov

А посадят все равно всех.

Ответить
Развернуть ветку
Артем Пиковский

Костя спасет. Напишет об этом.

Ответить
Развернуть ветку
Vladislav Arbatov

Вы NASA взломали. Тебе въезд в Америку закроют.

Ответить
Развернуть ветку
Юрий Мясников

А потом в админке миграционной службы штатов появится вип-пропуск

Ответить
Развернуть ветку
Артем Пиковский

Крым открыт!

Ответить
Развернуть ветку
Sakari Sauso

После прочтения фразы, "рассказал в своём блоге" в голове как-то само собой проговаривается "на Medium"

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Иван Писклюков

В награду за найденую уязвимость Дмитрий Бумов получит от Лебедева восхитительный "Розеткус".

Ответить
Развернуть ветку
Bo0oM

Я - не против)

Ответить
Развернуть ветку
Владимир Соловьёв

Вполне вероятно, что Imprimatur не безопасная система – её делает маленькое число человек.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Alexandr Shurigin

Привет тем кто защищает админку с помощью htaccess/basic auth по путям :)

Защита админки это всеже уровень приложения, а не веб сервера.

Ответить
Развернуть ветку
Андрей Панченко

Интересна реакция Лебедева.

Ответить
Развернуть ветку
Sergey Osnovskiy

Лебедев 15 раз упомянул женский половой орган и 14 мужской.

Зря об этом в СМИ рассказали, сейчас школота пойдет бомбить админки.

Ответить
Развернуть ветку
Артем Пиковский

0. Но их разрабам передали.

Ответить
Развернуть ветку
Denny Smirnov

Смешно, и это в 2017-то году =)

Ответить
Развернуть ветку
Александр Новиков

"...Редакции vc.ru в ходе эксперимента также удалось получить доступ к главным страницам административной панели нескольких организаций..." - редакция, а с каких пор взлом называется "экспериментом"?

Ответить
Развернуть ветку
Илья Мишин

звиздец интерфейсы админок, у какого-то Лебедя ваще прям юзер-френдли админка из 90-х годов... видимо там не обновлялось все десятки лет, нашел кого взламывать.

Ответить
Развернуть ветку
Rai Maemirov

Что? O_o меня одного смутил bitbucket на скрине админки NASA EarthData ?

Ответить
Развернуть ветку
Rai Maemirov

пардон, забыл о bitbucket server

Ответить
Развернуть ветку
Иван Бардов

У "белого хакера" блог на WordPress?
Учитывая постоянные новости про уязвимости в нём - как-то странно.

Ответить
Развернуть ветку
Андрей Захаров

Может это Honeypot ? ;-)

Ответить
Развернуть ветку
Константин Константинов

В смысле? Просто подмена адреса на адрес%20, я правильно понял?

Ответить
Развернуть ветку
Читать все 22 комментария
null