«Белый хакер» рассказал о возможности открыть «админку» магазина «Студии Лебедева» и других сайтов при помощи «символа пробела» Статьи редакции

Специалист по безопасности компании ONsec Дмитрий Бумов рассказал в своём блоге, что при помощи символа пробела в адресной строке (%20) можно получить доступ к интерфейсу главной страницы администрационной панели некоторых сайтов.

Сервера могут по-разному воспринимать присланную пользователем информацию. Общепринято, что %20 или знак + в параметрах принимается за пробел. Запрос на директорию /folder/test/%2e%2e/page — нормализуется до /folder/page, ибо %2e — точка в urlencode.

— Дмитрий Бумов

Бумов рассказал, что однажды обнаружил возможность получить доступ к интерфейсу административной панели одного из поддоменов «Яндекса», добавив при обращении к директории «/admin/» знак пробела (%20).

«Внутренние ссылки заново просили логин и пароль, однако, подменив вхождение строки "/admin/" в ответе сервера на "/admin%20/", админкой можно было пользоваться», — утверждает Бумов.

По его словам, позднее он сообщил об этом «Яндексу», и уязвимость была устранена.

Digital-директор компании Hydrop Артём Пиковский на своей странице в Facebook опубликовал скриншот интерфейса административной панели магазина «Студии Артемия Лебедева». В разговоре с vc.ru он пояснил, что на это обратил внимание один из пользователей, прочитавших об уязвимости в блоге Бумова.

Редакции vc.ru в ходе эксперимента также удалось получить доступ к главным страницам административной панели нескольких организаций. При попытке перейти по внутренним ссылкам сайты требовали ввести логин и пароль. При этом добавление символа пробела не всегда решает проблему, а на некоторых сайтах вовсе не работает.

Интерфейс административной панели магазина «Студии Артемия Лебедева»
Интерфейс административной панели проекта NASA EarthData
0
22 комментария
Популярные
По порядку
Написать комментарий...
Артем Пиковский

Я рассказал, как бум рассказал мне, как его читатель заюзал его метод)))

Ответить
10
Развернуть ветку
Vladislav Arbatov

А посадят все равно всех.

Ответить
11
Развернуть ветку
Артем Пиковский

Костя спасет. Напишет об этом.

Ответить
0
Развернуть ветку
Vladislav Arbatov

Вы NASA взломали. Тебе въезд в Америку закроют.

Ответить
1
Развернуть ветку
Юрий Мясников

А потом в админке миграционной службы штатов появится вип-пропуск

Ответить
11
Развернуть ветку
Артем Пиковский

Крым открыт!

Ответить
0
Развернуть ветку
Sakari Sauso

После прочтения фразы, "рассказал в своём блоге" в голове как-то само собой проговаривается "на Medium"

Ответить
12
Развернуть ветку

Комментарий удален

Развернуть ветку
Иван Писклюков

В награду за найденую уязвимость Дмитрий Бумов получит от Лебедева восхитительный "Розеткус".

Ответить
2
Развернуть ветку
Bo0oM

Я - не против)

Ответить
3
Развернуть ветку
Владимир Соловьёв

Вполне вероятно, что Imprimatur не безопасная система – её делает маленькое число человек.

Ответить
3
Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку
Alexandr Shurigin

Привет тем кто защищает админку с помощью htaccess/basic auth по путям :)

Защита админки это всеже уровень приложения, а не веб сервера.

Ответить
2
Развернуть ветку
Андрей Панченко

Интересна реакция Лебедева.

Ответить
0
Развернуть ветку
Sergey Osnovskiy

Лебедев 15 раз упомянул женский половой орган и 14 мужской.

Зря об этом в СМИ рассказали, сейчас школота пойдет бомбить админки.

Ответить
5
Развернуть ветку
Артем Пиковский

0. Но их разрабам передали.

Ответить
1
Развернуть ветку
Denny Smirnov

Смешно, и это в 2017-то году =)

Ответить
1
Развернуть ветку
Александр Новиков

"...Редакции vc.ru в ходе эксперимента также удалось получить доступ к главным страницам административной панели нескольких организаций..." - редакция, а с каких пор взлом называется "экспериментом"?

Ответить
1
Развернуть ветку
Илья Мишин

звиздец интерфейсы админок, у какого-то Лебедя ваще прям юзер-френдли админка из 90-х годов... видимо там не обновлялось все десятки лет, нашел кого взламывать.

Ответить
0
Развернуть ветку
Rai Maemirov

Что? O_o меня одного смутил bitbucket на скрине админки NASA EarthData ?

Ответить
0
Развернуть ветку
Rai Maemirov

пардон, забыл о bitbucket server

Ответить
0
Развернуть ветку
Иван Бардов

У "белого хакера" блог на WordPress?
Учитывая постоянные новости про уязвимости в нём - как-то странно.

Ответить
0
Развернуть ветку
Андрей Захаров

Может это Honeypot ? ;-)

Ответить
0
Развернуть ветку
Константин Константинов

В смысле? Просто подмена адреса на адрес%20, я правильно понял?

Ответить
0
Развернуть ветку
Читать все 22 комментария
Ждал автобус на морозе и решил создать ИТ-пуховик с обогревом — история одной разработки от школьника из Якутии

Идея создать ИТ-пуховик пришла к девятикласснику школы N23 города Якутска Валерию Максимову, когда он начал замерзать на остановке, ожидая свой автобус. Преподаватель технопарка “Кванториум” и наставник команды Денис Данилов поддержал замысел, и сегодня в разработке проекта участвует команда из четырех девятиклассников: Валерия Максимова, Максима…

Кейс: таргетированная реклама. Записи в студию красоты по 438₽
Проверь свои знания Ruby в Evrone Quiz
Как мы сделали интерактивный курс о том, чему нельзя научить в онлайне

Цифровые технологии сегодня всё чаще смешиваются с физическими объектами. Отсюда возникают примеры активностей в формате «фиджитал» (от англ. physical + digital). В статье мы рассказываем о том, как использовали такой подход в корпоративном обучении.

От бутылок в аптеках до бензиновых станций: какими были первые заправки в России

Автомобили с двигателем внутреннего сгорания появились в России в середине 1890-х, но ещё полтора десятилетия автовладельцам приходилось идти в аптеку или ехать на склад нефтяной компании, чтобы заправиться. Команда Заправок 2ГИС рассказывает, с чего начиналась история АЗС в России.

Во время автопробега Москва–Санкт-Петербург. Источник
ФСБ убедила ЦБ поддержать полный запрет на криптовалюту по политическим причинам — Bloomberg Статьи редакции

Так ведомство хочет лишить финансирования «нежелательные» организации и СМИ-иноагентов.

Топ 7 криптовалютных конференций 2022 года

В 2021 году популярность криптовалют и NFT в медиа и интернете зашкаливала. Интерес вылился в значительный рост посещаемости криптовалютных конференций. Мероприятий на 2022 год запланировано много; поэтому в этой статье я хочу поделиться своим топ-7 конференций на этот год.

«Азбука вкуса» завоевала серебро и бронзу на международном конкурсе дизайна World Brand Design Society Awards

Проекты инхаус дизайн-студии «Азбуки вкуса» — упаковка Мосальского стейка и редизайн упаковки СТМ «Азбука вкуса» — получили серебряную и бронзовую награды в двух номинациях: Дизайн упаковки и Редизайн упаковки.

Что тебе даст всего одна тренировка в неделю?

У наращивания мышц есть цель более значимая, чем косметическая. Хотя и последнюю я бы не стал принижать. Не буду пугать и грозно махать пальцем «ата-та», но дам пару фактов, которые полезно знать просто чтобы учитывать риски.

Что влияет на SEO сайта

Рассказываем, каким должен быть контент и хостинг для удачного размещения в поисковой выдаче.

Авито и участники IT-коалиции подписали мировое соглашение с Яндексом
null