Возможность подбора паролей пользователей и админов Php-Nuke

02.06.2003 | 15:24
Сообщается о возможности подбора паролей как пользователей, так и администраторов Php-Nuke.

Для подбора пароля пользователя требуется доступ на уровне пользователя к системе. При помощи спуфленного куки и анализа страницы, выводимой в результате запроса можно по буквам угадать пароль пользователя. В случае с паролем админа для доступа к хэшу вообще не требуется доступ к системе. Используется уязвимость в модуле Web_Links. Анализ угаданной буквы (цифры) пароля также ведётся на основе анализа результирующей страницы ответа сервера.

Автором предложен патч и скрипты на php для анализа наличия уязвимости. Уязвимость обнаружена в версиях 5.6 - 6.5. Технология использования уязвимости чем-то напоминает известное внедрение SQL-запросов.

Подробности - http://archives.neohapsis.com/archives/bugtraq/2003-05/0346.html.
безопасность, информация, защита информации, статьи, библиотека, аудит, администрирование, реагирование на инциденты, криптография, уязвимость
По материалам http://uinc.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код