31 grudnia 2009

LING.PL: komunikaty o błędach zdradzają strukturę katalogów serwera

czwartek, grudnia 31, 2009 | Autor: \m/ojtek


Popularny serwis LING.PL, oferujący szeroki wybór wielojęzycznych słowników online, nie jest prawidłowo zabezpieczony. Problemy ze stabilnością, szybkością oraz w ogóle dostępnością serwisu LING.PL są codziennością. Być może wynika to z notorycznego przeciążenia serwera, trudno jednak usprawiedliwić zwracanie użytkownikom w przeglądarce komunikatów o błędach zdradzających m.in. wewnętrzną strukturę katalogów serwera. Oto dwa zrzuty ekranowe z tego typu komunikatami:





Zwracanie użytkownikom wprost do ich przeglądarki tego typu komunikatów o błędach jest wbrew wszelkim zasadom bezpieczeństwa. Każda tego typu informacja o wewnętrznej strukturze serwera, pracujących w jego ramach programach, usługach oraz ich wersjach może zostać wykorzystana przez potencjalnego włamywacza! Pierwszy etap każdego ataku stanowi bowiem zawsze rekonesans, czyli zbieranie informacji o używanych w docelowym systemie rodzajach, wersjach oraz konfiguracjach systemu operacyjnego oraz oprogramowania, tak by następnie móc zaatakować znane słabości odnalezionych rozwiązań...
Etykiety: , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.