dimarts, 17 de desembre del 2013

Un hacker demostra una vulnerabilitat a eBay

Un investigador alemany de seguretat ha descobert una vulnerabilitat al popular lloc web de compres eBay que permetia executar codi remot al servidor desde qualsevol navegador.

A un video de demostració ha mostrat com podia executar la comanda phpinfo(); al servidor i que la pagina et retornas els resultats.

Modificant aquesta URL:

https://sea.ebay.com/search/?q=david&catidd=1
a aquesta
https://sea.ebay.com/search/?q[0]=david&q[1]=sec{${phpinfo()}}&catidd=1

Conseguia mostrar els resultats de phpinfo(); a la pantalla del navegador. A continuació hi ha el video de demostració



Més informació | The Hacker News
Publicat per a
Etiquetes de comentaris:

Cap comentari:

Publica un comentari a l'entrada

Nota: Només un membre d'aquest blog pot publicar entrades.

Subscriure's a: Comentaris del missatge (Atom)