Pages

Translate

Friday, January 4, 2013

မေလးရွားအစုိးရ DBKL Web Vulnerability ( For Knowledge )

မေလးရွားအစုိးရ DBKL Web Vulnerability ( For Knowledge )
Website ေတာ္ေတာ္မ်ားမ်ားက Web Vulnerability နဲ႔ လြတ္ဖုိ႔ဆုိတာ ခဲယဥး္ပါတယ္... ၀င္ေရာက္ေမြေႏွာက္တဲ႔နည္းလမ္းေတြကလည္း မ်ားပါ႔....

www.dbkl.gov.my မွာ XSS ၿဖစ္တာကုိ http://www.xssed.com/mirror/64058/ မွာ တင္ထားသလုိ အသိေပးခဲ႔တာလည္းၾကာပါၿပီ။
တစ္ခ်ဳိ႕က XSS က SQL Injection ေလာက္ေၾကာက္စရာမေကာင္းဘူးလုိ႔ထင္ၿပီး ဒီအတုိင္းထားၾကပါတယ္။ ဒါဟာ လုံး၀ကုိမွားပါတယ္။ သာမာန္ XSS က Phishing / Cookie Stealing ေတြရတာမဟုတ္ပါဘူး ၄င္းကုိ crimeware ေတြသုံးၿပီး malicious scripts နဲ႔အသုံးၿပဳလုိ႔လည္းရပါတယ္။

XSS အေၾကာင္းကုိ ေမာင္အင္ဖုိေခၚ ကုိ CyberHunter တင္ထားတာ ေတြ႔ဖူးပါတယ္။ ရွာေဖြၿပီးဖတ္ၾကပါ။

အဓိကေၿပာခ်င္တာက Site တစ္ခုမွာ ဘယ္လုိ Error ပဲၿဖစ္ေစ တစ္ခုၿဖစ္ရင္ အဲ႔တစ္ခုတည္းပါဆုိၿပီး သတ္မွတ္လုိ႔မရပါဘူး။ အားနဲတဲ႔ဟာ ကြက္တစ္ခုက တစ္ၿခား ေနာက္၀င္လာမဲ႔ တုိက္ခုိက္မႈကုိ အၿမဲတမ္း လမ္းဖြင့္ေပးေနတတ္ပါတယ္။

ဒီ site ကုိ ထပ္စစ္ၾကည့္ရေအာင္

Microsoft SQL Server 2000 - 8.00.2050 (Intel X86) Mar 7 2008 21:29:56 Copyright (c) 1988-2003 Microsoft Corporation
Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)

Databases: master
------------tempdb
------------model
------------msdb
------------pubs
------------Northwind
------------DBKL
------------penjaja
------------dbkl_test
------------dbkl_datakeyin
------------lesendmg

Database Table နဲ႔ Columns ေတြကုိေတာ့ အရမ္းမ်ားလုိ႔ text ဖုိင္နဲ႔ တင္ထားပါတယ္။

www.planetcreator.net/images/mmso/dbkl.txt
အဲ႔ host မွာ .gov ေတြ အမ်ားၾကီးရွိေသးတယ္.. အကုန္လုံး e-Online Management System ေတြ ေဒါင္းကုန္ဦးမယ္...

အရုိးရွင္းဆုံးေၿပာရရင္ DBKL site ကုိ ဟက္ခ်င္တယ္.. ဒါဆုိရင္
www.dbkl.gov.my ကုိ၀င္မွာေပါ႔ အကယ္လုိ႔မ်ား ဒီ site က Inject လုပ္မရရင္ သူနဲ႔ ဆက္ႏြယ္တာကုိၾကည့္ရပါလိမ့္မယ္။ ပထမဦးဆုံး main မရေတာ့ Subdomain ေတြကုိ လုိက္ၾကည့္မွာေပါ႔.. အဲ႔ဒါ ၾကည့္မရရင္ host မွာဘာေတြတင္ထားလဲ လုိက္ၾကည့္မယ္။ ေနာက္ဆုံးမရရင္ webmaster သုိမဟုတ္ တားဂတ္ရဲ႕ တာ၀န္ရွိသူေတြကုိ ၾကည့္ ရေတာ့မွာပဲ။ ေထာင္ေခ်ာက္ေတြဆင္မယ္.. ေစာင့္ဖမ္းမယ္... စသည္စသည္....

မွတ္ခ်က္။ ။ ပညာၿဖန္႕ေ၀မႈ ပင္ၿဖစ္သည္။ မိမိၿပဳလုပ္ေသာ အၿပစ္သည္ မိမိတာ၀န္သာၿဖစ္သည္။
Tags: Hacking


0 comments:

Post a Comment