Vulnerabilità nell’accesso all’area admin di siti .asp datati

Con questo tutorial voglio esporre un gravissimo bug che affligge moltissimi siti in .asp un po’ datati, con il quale un qualsiasi utente poteva elevare i suoi privilegi ad admin, e quindi entrare nell’area riservata agli amministratori del sito.

Prima di spiegare questa semplicissima ma pericolosissima vulnerabilità, premetto che non funziona su tutti i siti in .asp ma solo in quelli un po’ più datati e che hanno la pagina di login all’account nominata adminlogin.asp.

Inoltre si premette che la guida è unicamente a scopo informativo è che non ci assumiamo nessuna responsabilità dell’uso!

Se non avete sottomano un sito in .asp, potete cercare su internet un sito che abbia questa vulnerabilità scrivendo nella casella di ricerca di Google la stringa  adminlogin.asp, e cercando un sito con un URL che finisca con adminlogin.asp (esempio: http://www.miosito.ext/adminlogin.asp).

Quasi sicuramente vi imbatterete nella schermata di login che vi richiederà Username e Password, ed è proprio qui che viene il bello!
Per elevare i propri privilegi ad amministratore basterà immettere questi dati:

Username: admin
Password: ‘or”=’

(ricordatevi le virgolette nella password!)

Ora semplicemente loggandosi sarete amministratori del sito, con tutti i vantaggi che può portare!

Metodo semplicissimo, ma molto pericoloso per i veri amministratori del sito!

Ci ritengo a precisarlo, questo tutorial è strettamente a scopo informativo e non ci riteniamo responsabili per l’uso non corretto o fraudolento dello stesso.
By | 2016-10-20T11:46:51+00:00 luglio 24th, 2013|Sicurezza Informatica|0 Comments

About the Author:

Marco
Smanettone sin dall'infanzia, appassionato di ingegneria meccanica ed hacking informatico. Fondatore dell'agenzia informatica ProfessionalSite

Leave A Comment

Controllo CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.