AlkatraZ (SV!) [Off] [#] (03.08.2009 / 17:17) Уездный предводитель Каманчей

cPanel, восприимчива к опасной атаке
Если ты используешь cPanel для администрирования веб-сайта, или некоторые роутеры Linksys и Netgear для маршрутизации трафика через беспроводную сеть, ты уязвим к веб-атакам, в результате которых злоумышленники могут получить полный контроль над твоими системами. Именно об этом заявили в субботу два эксперта в области безопасности.

AlkatraZ (SV!) [Off] [#] (03.08.2009 / 17:17) Уездный предводитель Каманчей

Все три платформы уязвимы к межсайтовой подделке запросов (CSRF), причем имеющиеся уязвимости могут быть использованы, даже если пользователь просто перешел не на тот сайт. По словам Расса Макри из HolisticInfoSec.org и Майка Бейли из Skeptikal.org, представители всех трех компаний были уведомлены о наличии дыр, но пока так и не смогли закрыть их.

При межсайтовой подделке запросов сторонний веб-сайт заставляет пользователя ресурса, требующего аутентификации, совершать те действия, совершать которые он не намеревался – например, осуществлять финансовые транзакции или выдавать свои пароли. А поскольку на законопослушном сайте такой пользователь уже авторизован, при совершении подобного рода действий никаких паролей не требуется.

Уязвимость в cPanel можно использовать, заманив авторизованного в ней пользователя на вредоносный веб-сайт. С помощью этой атаки можно заставить cPanel выполнять важные команды, выдав их за команды, отдаваемые жертвой. Например, в ходе подобного нападения можно сбросить пароль на root, обновить ПО, а также изменить и перенастроить все, что захочется.

Данной CSRF-атаке, по словам Макри, подвержены также роутеры Linksys WRT160N и Netgear RP614v4. Этот специалист даже выложил видеоролик демонстрирующий атаку в действии. Поскольку производители используют один и тот же код для всей линейки маршрутизаторов, существует вероятность того, что уязвимыми к взлому являются и другие модели.

Комментариев от трех упомянутых выше компаний пока не поступало.

(по материалам журнальчега Хакер)

AlkatraZ (SV!) [Off] [#] (03.08.2009 / 17:18) Уездный предводитель Каманчей

Как Вы знаете, cPanel используется на очень большом числе хостингов.

Лаврентий_Палыч [Off] [#] (03.08.2009 / 17:20)

ISP Manager рулед))

Оптимус Прайм [Off] [#] (03.08.2009 / 17:32) How I Met yor Mother

это ужасно
=====
Давно хотел спросить: есть ли смысл если щелкаешь по рекле с телефона с опиры-мине? :робот:

ШлангЪ [Off] [#] (03.08.2009 / 17:38)

Ну вот! к марсу рвёмсо, нахуя? тут дел пално, стока дыр незакрытых! а нераскрытых...
вопсчем хуйнанихпесдафсиму!

треп_ниoчeм [Off] [#] (03.08.2009 / 18:47)

юзаэм локал хост и ета уязвимрсть не страшна))

maXomaRa [Off] [#] (03.08.2009 / 19:41)

AlkatraZ (03.08.2009/21:17)
Все три платформы уязвимы к межсайтовой подделке запросов (CSRF), причем имеющиеся уязвимости могут быть использованы, даже если пользователь просто перешел не на тот сайт. По словам Расса Макри из HoОлег,ну это дело довольно-таки давно практикуется. CSRF-это одна из самых великих проблем нынешнего(да и прошлого,но в меньшем масштабе) "поколения" взломов. Узнать код публичных(и даж не публичных)скриптов не так уж и сложно,а из этого и строится сам запрос. Не буду кривить душой,сам не раз пользовался CSRF... Ну и для изучения чужого кода использовал СИ.

maXomaRa [Off] [#] (03.08.2009 / 19:43)

Да и ваще ничего никада нибываед защищОнным на 100%. Везде есть ашыбке.

equivocado [Off] [#] (03.08.2009 / 20:54)

Я тут вспомнил на ночь глядя историю интернета.гг

Оптимус Прайм [Off] [#] (03.08.2009 / 21:59) How I Met yor Mother

equivocado (04.08.2009/00:54)
Я тут вспомнил на ночь глядя историю интернета.гга я ее не знал, да еще и забыл;(
:робот:

Rec [Off] [#] (03.08.2009 / 22:10)

да блин..черная дыра.Хотя сколько пользуюсь этой панелью,раза 2 в нее заходил чтобы в пхпмайадмин перейти,а так фтп пользуюсь постоянно. Надо как на дцмс замутить что бы запросы можно было делать из админки

kit-a [Off] [#] (04.08.2009 / 08:40)

Лаврентий_Палыч (03.08.2009/21:20)
ISP Manager рулед))Ага