Перейти к содержимому

Первый Онлайн ИНститут Тестировщиков
онлайн, начало 15 ноября
Практикум по тест-дизайну 2.0
онлайн, начало 16 ноября
Программирование на Java для тестировщиков
онлайн, начало 16 ноября
Тестирование веб-приложений 2.0
онлайн, начало 16 ноября
Фотография

Errors pack!


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 2

#1 muskatus

muskatus

    Новый участник

  • Members
  • Pip
  • 18 сообщений

Отправлено 05 Октябрь 2011 - 13:19

1. Начнем с конфигурации сервака
linux 2.6.34
openssh 5.4
PHP 5.3.3
nginx 0.8.54
bind 9.7.3 p3
Данные легко вылезают либо в баннере порта, либо в заголовке ответа сервака.

1-е что сразу же бросилось в глаза - это листинг директорий
http://software-testing.ru/wiki/bin/
http://software-testing.ru/dokuwiki/
http://software-testing.ru/icons/

А также просмотр некоторых стандартов идущих с джумлой

http://software-test...ru/htaccess.txt
http://software-test...ration.php-dist

Собственно исходя только их этих данных, можно найти множество сплоитов. Вот описания некоторых из них
http://cve.mitre.org...e=CVE-2010-4645
http://cve.mitre.org...e=CVE-2010-3436
http://cve.mitre.org...e=CVE-2010-3710
http://web.nvd.nist....d=CVE-2010-4700
http://cve.mitre.org...e=CVE-2011-1657
и др.

Кстати версию пхп, помимо заголовков ответа, можно узнать из яиц - http://software-test...A9-4C7B08C10000
и здесь http://software-test...69-00AA001ACF42
Затем сверить данные и узнать точную версию можно здесь - http://www.0php.com/php_easter_egg.php

Продолжение следует........ если админ сайта не против?
  • 0

#2 barancev

barancev

    Администратор

  • Admin
  • PipPipPipPipPipPip
  • 6 816 сообщений
  • ФИО:Алексей Баранцев
  • Город:Россия, Москва


Отправлено 06 Октябрь 2011 - 08:47

Не против, продолжайте :)

Да, с виками нехорошо получилось, снесли их вообще напрочь (потому что в другом месте будет развернуто).
Версии софта, действительно, узнать несложно. Но и пофиг, ибо обновляется достаточно регулярно. Кроме того, тут больше зависит всё от версии приложения, а не платформы.
Стандартные настроечные файлы -- ну, можно скачать дистрибутив джумлы и там их посмотреть. Смысл их удалять?
  • 0

Алексей Баранцев
Тренинги для тестировщиков (тестирование производительности, защищенности, тест-дизайн, автоматизация):
Линейка тренингов по Selenium


#3 muskatus

muskatus

    Новый участник

  • Members
  • Pip
  • 18 сообщений

Отправлено 06 Октябрь 2011 - 17:38

Не против, продолжайте :)

Да, с виками нехорошо получилось, снесли их вообще напрочь (потому что в другом месте будет развернуто).
Версии софта, действительно, узнать несложно. Но и пофиг, ибо обновляется достаточно регулярно. Кроме того, тут больше зависит всё от версии приложения, а не платформы.
Стандартные настроечные файлы -- ну, можно скачать дистрибутив джумлы и там их посмотреть. Смысл их удалять?

хостинг Ваш?
  • 0


Инструменты тестировщика: Командная строка
онлайн, начало 28 ноября
Практикум по тест-дизайну 2.0
онлайн, начало 16 ноября
Программирование на Phyton для тестировщиков
онлайн, начало 30 ноября
Тестирование производительности (JMeter)
онлайн, начало 2 ноября



Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных

Яндекс.Метрика
Реклама на портале