Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Sommige vulnerabilities zijn gewoon lachwekkend.

29-05-2014, 11:37 door [Account Verwijderd], 3 reacties
https://www.portcullis-security.com/security-research-and-downloads/security-advisories/cve-2014-3445/


Details:

The default setup allows an unauthenticated user to access administrative functions such as backing up of key files within the CMS. This is done by appending the following to a domain using the software affected:

/backup.php?a=2&k=6f15afa1ac4edea0g145e884116334b7

Where “a” is the file number to back up and “k” is the MD5key used to authenticate the administrator, however if “k” does not match the correct key rather than disallowing the unauthenticated user to back up the file the service will provide the user with the correct key. For example:

Failure, wrong key. The right key is 5f17aca1ae2edea0f145e884116371a5
Reacties (3)
30-05-2014, 09:42 door Anoniem
Nu is Handsome Web geen hele grote speler, maar zelfs voor het kleinste part-time-éénmansbedrijfje is dit wel erg "onhandig" inderdaad.

Het houdt natuurlijk wel onbeheerde scripts buiten de deur, hahahahaha ;)

Zomaar een vraagje; kun je IP- e/o MAC-filters instellen voor de inlog?
30-05-2014, 12:06 door Anoniem
Mooi, mooi. Van vergelijkbaar kaliber als de "blackice defender firewall" die er met een ping-of-death stilletjes uitklapt en een onbeveiligd systeem achterlaat. Maar dan expres zo gebouwd zeg maar.
14-02-2015, 11:18 door Kazuya07 - Bijgewerkt: 14-02-2015, 11:18
[Verwijderd door moderator]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.