မေလးရွားအစုိးရ DBKL Web Vulnerability ( For Knowledge
)
- Posted by ေျမြျဖဴ
on November 21, 2011 at 11:06am in Myanmar
Hackers Group
- Back to Myanmar Hackers Group Discussions
Website ေတာ္ေတာ္မ်ားမ်ားက Web
Vulnerability နဲ႔ လြတ္ဖုိ႔ဆုိတာ ခဲယဥး္ပါတယ္...
၀င္ေရာက္ေမြေႏွာက္တဲ႔နည္းလမ္းေတြကလည္း မ်ားပါ႔....
www.dbkl.gov.my မွာ XSS ၿဖစ္တာကုိ http://www.xssed.com/mirror/64058/ မွာ တင္ထားသလုိ အသိေပးခဲ႔တာလည္းၾကာပါၿပီ။
တစ္ခ်ဳိ႕က XSS က SQL Injection ေလာက္ေၾကာက္စရာမေကာင္းဘူးလုိ႔ထင္ၿပီး ဒီအတုိင္းထားၾကပါတယ္။ ဒါဟာ လုံး၀ကုိမွားပါတယ္။ သာမာန္ XSS က Phishing / Cookie Stealing ေတြရတာမဟုတ္ပါဘူး ၄င္းကုိ crimeware ေတြသုံးၿပီး malicious scripts နဲ႔အသုံးၿပဳလုိ႔လည္းရပါတယ္။
XSS အေၾကာင္းကုိ ေမာင္အင္ဖုိေခၚ ကုိ CyberHunter တင္ထားတာ ေတြ႔ဖူးပါတယ္။ ရွာေဖြၿပီးဖတ္ၾကပါ။
အဓိကေၿပာခ်င္တာက Site တစ္ခုမွာ ဘယ္လုိ Error ပဲၿဖစ္ေစ တစ္ခုၿဖစ္ရင္ အဲ႔တစ္ခုတည္းပါဆုိၿပီး သတ္မွတ္လုိ႔မရပါဘူး။ အားနဲတဲ႔ဟာ ကြက္တစ္ခုက တစ္ၿခား ေနာက္၀င္လာမဲ႔ တုိက္ခုိက္မႈကုိ အၿမဲတမ္း လမ္းဖြင့္ေပးေနတတ္ပါတယ္။
ဒီ site ကုိ ထပ္စစ္ၾကည့္ရေအာင္
Microsoft SQL Server 2000 - 8.00.2050 (Intel X86) Mar 7 2008 21:29:56 Copyright (c) 1988-2003 Microsoft Corporation
Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
Databases: master
------------tempdb
------------model
------------msdb
------------pubs
------------Northwind
------------DBKL
------------penjaja
------------dbkl_test
------------dbkl_datakeyin
------------lesendmg
Database Table နဲ႔ Columns ေတြကုိေတာ့ အရမ္းမ်ားလုိ႔ text ဖုိင္နဲ႔ တင္ထားပါတယ္။
www.planetcreator.net/images/mmso/dbkl.txt
အဲ႔ host မွာ .gov ေတြ အမ်ားၾကီးရွိေသးတယ္.. အကုန္လုံး e-Online Management System ေတြ ေဒါင္းကုန္ဦးမယ္...
အရုိးရွင္းဆုံးေၿပာရရင္ DBKL site ကုိ ဟက္ခ်င္တယ္.. ဒါဆုိရင္ www.dbkl.gov.my ကုိ၀င္မွာေပါ႔ အကယ္လုိ႔မ်ား ဒီ site က Inject လုပ္မရရင္ သူနဲ႔ ဆက္ႏြယ္တာကုိၾကည့္ရပါလိမ့္မယ္။ ပထမဦးဆုံး main မရေတာ့ Subdomain ေတြကုိ လုိက္ၾကည့္မွာေပါ႔.. အဲ႔ဒါ ၾကည့္မရရင္ host မွာဘာေတြတင္ထားလဲ လုိက္ၾကည့္မယ္။ ေနာက္ဆုံးမရရင္ webmaster သုိမဟုတ္ တားဂတ္ရဲ႕ တာ၀န္ရွိသူေတြကုိ ၾကည့္ ရေတာ့မွာပဲ။ ေထာင္ေခ်ာက္ေတြဆင္မယ္.. ေစာင့္ဖမ္းမယ္... စသည္စသည္....
မွတ္ခ်က္။ ။ ပညာၿဖန္႕ေ၀မႈ ပင္ၿဖစ္သည္။ မိမိၿပဳလုပ္ေသာ အၿပစ္သည္ မိမိတာ၀န္သာၿဖစ္သည္။
www.dbkl.gov.my မွာ XSS ၿဖစ္တာကုိ http://www.xssed.com/mirror/64058/ မွာ တင္ထားသလုိ အသိေပးခဲ႔တာလည္းၾကာပါၿပီ။
တစ္ခ်ဳိ႕က XSS က SQL Injection ေလာက္ေၾကာက္စရာမေကာင္းဘူးလုိ႔ထင္ၿပီး ဒီအတုိင္းထားၾကပါတယ္။ ဒါဟာ လုံး၀ကုိမွားပါတယ္။ သာမာန္ XSS က Phishing / Cookie Stealing ေတြရတာမဟုတ္ပါဘူး ၄င္းကုိ crimeware ေတြသုံးၿပီး malicious scripts နဲ႔အသုံးၿပဳလုိ႔လည္းရပါတယ္။
XSS အေၾကာင္းကုိ ေမာင္အင္ဖုိေခၚ ကုိ CyberHunter တင္ထားတာ ေတြ႔ဖူးပါတယ္။ ရွာေဖြၿပီးဖတ္ၾကပါ။
အဓိကေၿပာခ်င္တာက Site တစ္ခုမွာ ဘယ္လုိ Error ပဲၿဖစ္ေစ တစ္ခုၿဖစ္ရင္ အဲ႔တစ္ခုတည္းပါဆုိၿပီး သတ္မွတ္လုိ႔မရပါဘူး။ အားနဲတဲ႔ဟာ ကြက္တစ္ခုက တစ္ၿခား ေနာက္၀င္လာမဲ႔ တုိက္ခုိက္မႈကုိ အၿမဲတမ္း လမ္းဖြင့္ေပးေနတတ္ပါတယ္။
ဒီ site ကုိ ထပ္စစ္ၾကည့္ရေအာင္
Microsoft SQL Server 2000 - 8.00.2050 (Intel X86) Mar 7 2008 21:29:56 Copyright (c) 1988-2003 Microsoft Corporation
Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
Databases: master
------------tempdb
------------model
------------msdb
------------pubs
------------Northwind
------------DBKL
------------penjaja
------------dbkl_test
------------dbkl_datakeyin
------------lesendmg
Database Table နဲ႔ Columns ေတြကုိေတာ့ အရမ္းမ်ားလုိ႔ text ဖုိင္နဲ႔ တင္ထားပါတယ္။
www.planetcreator.net/images/mmso/dbkl.txt
အဲ႔ host မွာ .gov ေတြ အမ်ားၾကီးရွိေသးတယ္.. အကုန္လုံး e-Online Management System ေတြ ေဒါင္းကုန္ဦးမယ္...
အရုိးရွင္းဆုံးေၿပာရရင္ DBKL site ကုိ ဟက္ခ်င္တယ္.. ဒါဆုိရင္ www.dbkl.gov.my ကုိ၀င္မွာေပါ႔ အကယ္လုိ႔မ်ား ဒီ site က Inject လုပ္မရရင္ သူနဲ႔ ဆက္ႏြယ္တာကုိၾကည့္ရပါလိမ့္မယ္။ ပထမဦးဆုံး main မရေတာ့ Subdomain ေတြကုိ လုိက္ၾကည့္မွာေပါ႔.. အဲ႔ဒါ ၾကည့္မရရင္ host မွာဘာေတြတင္ထားလဲ လုိက္ၾကည့္မယ္။ ေနာက္ဆုံးမရရင္ webmaster သုိမဟုတ္ တားဂတ္ရဲ႕ တာ၀န္ရွိသူေတြကုိ ၾကည့္ ရေတာ့မွာပဲ။ ေထာင္ေခ်ာက္ေတြဆင္မယ္.. ေစာင့္ဖမ္းမယ္... စသည္စသည္....
မွတ္ခ်က္။ ။ ပညာၿဖန္႕ေ၀မႈ ပင္ၿဖစ္သည္။ မိမိၿပဳလုပ္ေသာ အၿပစ္သည္ မိမိတာ၀န္သာၿဖစ္သည္။
0 comments:
Post a Comment