Door een foutje in de configuratie van het banner management systeem is href=mailto:thepike@hotmail.com>The Pike er vanmiddag in geslaagd z'n
eigen banner in het banner systeem van security.nl te plaatsen. Na
Slashdot, AntiOnline en RootShell mocht nu dus ook security.nl eraan
geloven..

De gebruikte 'exploit' is simpel maar doeltreffend: door een verkeerde
permissie op het build.cgi script van AdCycle (zie href=golink.php3?url=http://www.adcycle.com/
target=_blank>www.adcycle.com) kon The Pike het management password
van AdCyle zien. Hierna was het vrij simpel een banner toe te voegen.
Verder dan het banner systeem kon de kraker niet komen, omdat AdCycle
vanzelfsprekend een eigen database heeft, de mysqld niet naar de buitenwereld
luistert en uiteraard niet als root draait.

Een snelle check leerde ons dat vele internet sites hetzelfde
probleem hebben, reden genoeg om een mailtje over dit probleem te
sturen naar de href=golink.php3?url=http://www.securityfocus.com/archives/bugtraq>Bugtraq
mailinglist.

The Pike loste het netjes op: direct na z'n banner te hebben geplaatst maakte hij
een target=_blank>screenshot en stuurde toen een mail naar de redactie.
Het probleem was vlak daarvoor overigens al ontdekt en opgelost. The Pike: de taart staat klaar op de redactie.