Информационная безопасность компьютерных систем и защита конфиденциальных данных
SecuRRity.Ru » Уязвимые сайты » SQL инъекция в BT.COM
Уязвимые сайты

SQL инъекция в BT.COM

автор: Administrator | 11 марта 2009, 16:37 | Просмотров: 4405
теги: Уязвимые сайты, blind, sql, инъекця, Безопасность, unu, БАЗА ДАННЫХ, САЙТ, доступ, параметр



Бритиш Телеком(BT), одним из ведущих мировых поставщиков коммуникационных решений и услуг, работающего в 170 странах, предоставляет услуги стационарной и сотовой (мобильной) связи, цифрового телевидения, веб-хостинг, сетевой безопасности, доступ в интернет, множество дополнительных услуг для предприятий и ИТ-услуги частных лиц, например, голосовая почта, телеконференция, веб-конференция.

Описание говорит обо всем. Один из гигантов в области ИТ, мобильных, теле-и интернет-услуг, гигантская компания с огромной базы данных.

Вы не должны быть интернет-пользователем, чтобы понять, какие огромные риски и проблемы, могут появится если такая база данных, будет уязвимая.

Несмотря на всё это, уязвимый параметр, открывает дверь к драгоценные базы данных, где можно получить доступ к анкетные данные, данные входа в систему, разные логи и др.

имена таблиц, версия и пользователь базы данных:
SQL инъекция в BT.COM


логи входа пользователей в систему для различных баз данных
(среди которые, конечно, есть и администрация):

SQL инъекция в BT.COM


электронная почта, активный, последний вход, имя, фамилия, адрес, город, почтовый индекс, Уровень, случайный ключ и пароль, для некоторых из зарегистрированных пользователей:
SQL инъекция в BT.COM


Поскольку это было blind SQL инъекция, невозможно показать результаты web-страницы. На следующие два скриншота, показано, что параметр уязвим:

если использовать AND+1=1,(true) страница загружается:
SQL инъекция в BT.COM


если использовать AND+1=2,(false) страница не загружается:
SQL инъекция в BT.COM



базы данных, к которым можно получить доступ:
[*] BT
[*] BT_Argos
[*] BT_BB_Anywhere
[*] BT_BBAndLine
[*] BT_BroadbandOpenzone
[*] BT_Bundling
[*] BT_CallMeArgos
[*] BT_CallSave
[*] BT_CallSaveStaff
[*] BT_comparebroadband
[*] BT_dabsCallback
[*] BT_DigitalVaultPlus
[*] BT_DisneyComp
[*] BT_HomeITCall
[*] BT_HomeITInstall
[*] BT_ITCalculator
[*] BT_Main
[*] BT_MobilePicker_Flexible
[*] BT_NetProtectOrder
[*] BT_ppc
[*] BT_PrinceCaspian
[*] BT_recontracting
[*] BT_RecontractingGenZ
[*] BT_SecureAdmin
[*] BT_SimOffer
[*] BT_Tactical_oneclick
[*] BT_TellAFriend
[*] BT_Tinkerbell
[*] BT_TotalBroadband
[*] BT_VisionOrderJourney
[*] BTM00585
[*] Crayon_Utility
[*] master
[*] MobilePortal
[*] model
[*] msdb
[*] tempdb


источник:
hackersblog.org

обнаружил уязвимость:
unu

Обратная связь

Информация


Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.