«Белый хакер» рассказал о возможности открыть «админку» магазина «Студии Лебедева» и других сайтов при помощи «символа пробела» Статьи редакции

Специалист по безопасности компании ONsec Дмитрий Бумов рассказал в своём блоге, что при помощи символа пробела в адресной строке (%20) можно получить доступ к интерфейсу главной страницы администрационной панели некоторых сайтов.

Сервера могут по-разному воспринимать присланную пользователем информацию. Общепринято, что %20 или знак + в параметрах принимается за пробел. Запрос на директорию /folder/test/%2e%2e/page — нормализуется до /folder/page, ибо %2e — точка в urlencode.

— Дмитрий Бумов

Бумов рассказал, что однажды обнаружил возможность получить доступ к интерфейсу административной панели одного из поддоменов «Яндекса», добавив при обращении к директории «/admin/» знак пробела (%20).

«Внутренние ссылки заново просили логин и пароль, однако, подменив вхождение строки "/admin/" в ответе сервера на "/admin%20/", админкой можно было пользоваться», — утверждает Бумов.

По его словам, позднее он сообщил об этом «Яндексу», и уязвимость была устранена.

Digital-директор компании Hydrop Артём Пиковский на своей странице в Facebook опубликовал скриншот интерфейса административной панели магазина «Студии Артемия Лебедева». В разговоре с vc.ru он пояснил, что на это обратил внимание один из пользователей, прочитавших об уязвимости в блоге Бумова.

Редакции vc.ru в ходе эксперимента также удалось получить доступ к главным страницам административной панели нескольких организаций. При попытке перейти по внутренним ссылкам сайты требовали ввести логин и пароль. При этом добавление символа пробела не всегда решает проблему, а на некоторых сайтах вовсе не работает.

Интерфейс административной панели магазина «Студии Артемия Лебедева»
Интерфейс административной панели проекта NASA EarthData
0
22 комментария
Популярные
По порядку
Написать комментарий...

Я рассказал, как бум рассказал мне, как его читатель заюзал его метод)))

10

А посадят все равно всех.

11

Костя спасет. Напишет об этом.

0

Вы NASA взломали. Тебе въезд в Америку закроют.

1

А потом в админке миграционной службы штатов появится вип-пропуск

11

Крым открыт!

0

После прочтения фразы, "рассказал в своём блоге" в голове как-то само собой проговаривается "на Medium"

12

Комментарий удален

В награду за найденую уязвимость Дмитрий Бумов получит от Лебедева восхитительный "Розеткус".

2

Я - не против)

3

Вполне вероятно, что Imprimatur не безопасная система – её делает маленькое число человек.

3

Комментарий удален

Комментарий удален

Комментарий удален

Привет тем кто защищает админку с помощью htaccess/basic auth по путям :)

Защита админки это всеже уровень приложения, а не веб сервера.

2

Интересна реакция Лебедева.

0

Лебедев 15 раз упомянул женский половой орган и 14 мужской.

Зря об этом в СМИ рассказали, сейчас школота пойдет бомбить админки.

5

0. Но их разрабам передали.

1

Смешно, и это в 2017-то году =)

1

"...Редакции vc.ru в ходе эксперимента также удалось получить доступ к главным страницам административной панели нескольких организаций..." - редакция, а с каких пор взлом называется "экспериментом"?

1

звиздец интерфейсы админок, у какого-то Лебедя ваще прям юзер-френдли админка из 90-х годов... видимо там не обновлялось все десятки лет, нашел кого взламывать.

0

Что? O_o меня одного смутил bitbucket на скрине админки NASA EarthData ?

0

пардон, забыл о bitbucket server

0

У "белого хакера" блог на WordPress?
Учитывая постоянные новости про уязвимости в нём - как-то странно.

0

Может это Honeypot ? ;-)

0

В смысле? Просто подмена адреса на адрес%20, я правильно понял?

0
Читать все 22 комментария
Как канадские любители снегоходов и квадроциклов открыли для себя Россию

«Важно найти свою нишу и быть готовым к тому, что ничего не получится».

За год с 4 до 16 млн выручки в месяц. Как без денег построить свою сеть из доставок роллов?
Китайский стартап по производству сельскохозяйственных роботов FJDynamics привлёк $70 млн Статьи редакции

Компания хочет упростить ручную работу в строительстве и садоводстве.

Как «Л'Этуаль» игнорит покупателей

Цель данного поста – привлечь внимание представителей интернет-магазина «Л'Этуаль» к проблеме, которая не решается уже 5 дней. Если, конечно, они сюда заглядывают. А заодно предостеречь других людей, которые свяжутся с сервисом этой многоуважаемой компании в Москве.

Как я стал резидентом ОЭЗ «Технополис Москва» — опыт компании «ХайТэк»

Опытом работы на территории особой экономической зоны столицы делится генеральный директор НТЦ «ХайТэк» Алексей Алясев.

Пресс-служба ОЭЗ «Технополис Москва».
VELES BLOG Рассказываем как себя вести, чтобы заработать с Veles
Использование YOLOv5 для задачи детекции

Ликбез по нейронным сетям

Модемы, роутеры и интернет-центры Yota можно приобрести на Avito, OZON и «СберМегамаркет»
null