| Zurück
|
| URL:
|
https://Freizeitparkweb.de/cgi-bin/dcf/dcboard.cgi
|
| Foren-Name:
|
Plauderecke
|
| Beitrag Nr.:
|
8047
|
#0, Chaos Communication Camp
Geschrieben von Flyo am 08-Aug-07 um 16:24 Uhr
Hi!
Wie auf der Seite der Veranstaltung zu lesen ist, hats auch folgende Seite erwischt:http://www.parkbewertungen.de/ Dort läst sich ziemlich einfach die passwd auslesen...
Quelle: http://events.ccc.de/camp/2007/Hacked Ich hoffe die gehört keinem von uns hier..  Gruß
Dirk
#1, RE: Chaos Communication Camp
Geschrieben von Boris am 08-Aug-07 um 17:12 Uhr
>Ich hoffe die gehört keinem von uns hier.. Bei jemanden, der so viele gleichartige *bewertungen.de-Seiten betreibt die auch noch alle den gleichen Fehler aufweisen, kann man das vermutlich eher ausschliessen.
#2, RE: Chaos Communication Camp
Geschrieben von Tron am 08-Aug-07 um 17:41 Uhr
>>Ich hoffe die gehört keinem von uns hier..
>
>Bei jemanden, der so viele gleichartige *bewertungen.de-Seiten betreibt die auch noch
>alle den gleichen Fehler aufweisen, kann man das vermutlich eher ausschliessen. Ich dachte immer: Wer bitteschön ist so dämlich und baut ein Include-Script, welches einfach jede X-Beliebige im Parameter angegebene Datei included und anzeigt?! Jetzt habe ich diese Person gefunden... 
Tobi - Der Forenstaubsauger mit seidenem Halbwissen
ThemenParX.de - Updated: Im Test: Freizeitpark-Ticketbestellsysteme
#3, RE: Chaos Communication Camp
Geschrieben von Boris am 08-Aug-07 um 17:50 Uhr
>Jetzt habe ich diese Person gefunden...Das hört sich so an als gäbe es nur eine davon. 
Alleine in der oben verlinkten Hall of Shame findet man ja schon fast 20 Directory Traversals von denen die meisten zur /etc/passwd (also vermutlich auch zu allen anderen Dateien im System) führen und der Rest anscheinend "nur" auf das Webverzeichnis beschränkt ist (auslesen der htpasswd u.ä.).
|
|