Cabinet.gov.mn ийг жишээ болгож жоохон ухаж үзэв. Гэвч нилээд алдаа, цоорхойтой вэб байна шүү. Би хорлон сүйтгэгч биш болохоор алдааний талаар энд мэдээлээд орхий.
Алдаа 1
http://www.cabinet.gov.mn/news.php?newstype=news
SQL injection хийж mysql db ээс мэдээлэл дуудав. Гэвч энд бас нэг том алдаа байсан нь db ийн password ийг encryption хийж хадгалдаггүй байх юм. Joomla байж болно гэхдээ password оо тext ээр нь тавьчиж болохгүй биз дээ. Ариа дэндүү.
admin, oyun гэх username ба пассворт нь байв. Пассвортыг нь мэдээж нийтлэхгүй.
Алдаа 2
http://www.cabinet.gov.mn/govinformation.php
XSS буюу Cross Site Script орж байв. Гээд цааш нь ухвал ухахаар л байна ингээд орхий доо. Админ нь харвал алдаагаа засаарай.
No comments:
Post a Comment