Squadzer
05.03.2013, 23:33
Сабж. Уязвимы все сайты на ucoz с подключенной услугой php.
Позволяет в один клик (прямо как в "волшебных" программах) получить полный контроль над php сервером сайта - чтение/редактирование/удаление/заливка любых файлов на нем.
За счет того, что сервер линкуется на сайт как папка, есть возможность проведения XSS на любой из этих сайтов. Часто на сервере лежат данные для авторизации под пользователем с правами администратора или даже пароль от ПУ/вебтопа (всегда, если на сайте стоит авторизация через социальные сети)
Дыру настаиваю с ноября - фикса нет.
За пруфами в ЛС. Цена - 500$
Позволяет в один клик (прямо как в "волшебных" программах) получить полный контроль над php сервером сайта - чтение/редактирование/удаление/заливка любых файлов на нем.
За счет того, что сервер линкуется на сайт как папка, есть возможность проведения XSS на любой из этих сайтов. Часто на сервере лежат данные для авторизации под пользователем с правами администратора или даже пароль от ПУ/вебтопа (всегда, если на сайте стоит авторизация через социальные сети)
Дыру настаиваю с ноября - фикса нет.
За пруфами в ЛС. Цена - 500$