Dalsia dierka v Azete

 autor:evil rubrika:security

Neubehlo vela casu od uverejnenia poslednej diery na azet.sk a je tu dalsia. Kazdy, kto niekedy pridal nejaky inzerat na www.zoznamka.ska zaroven ma mailbox na serveri azet.sk by sa mal obavat o svoje sukromie. Dovodom je uz dlhsie znama bezpecnostna diera, pomocou ktorej sa da uplne jednoducho dostat do mailboxu na azet.sk prostrednictvom zoznamky a v cudzom mene posielat maily, resp. citat si ich a mazat. Ako na to? Jendoducho si vyberte nejaky inzerat na www.zoznamka.sk, klik na Odpoved a klavesovou skratkou si "odpovedovy formular" ,alebo ako to nazvat, otvorte v novom okne (vo windoze prostrednictvom internet exploreru Ctrl+N) a staci prepisat na konci url cast=5 na cast=7 a voila: mam uzivatelske meno a hlavne HESLO na mailove konto... Potom sa uz staci len jednoducho nalogovat a isty XY vlastniaci toto konto sa len moze cudovat, preco mu z nicoho nic miznu maily, alebo preco mu odpisuju na nim nikdy neposlany mail... Som zvedavy, kedy sa uz admini na azete konecne zobudia, a daju si to tam vsetko do poriadku (myslim,
ze to bude veeeelmi dlhe upratovanie)...
P.S.: Sorry vsetkym, ktorych zalubou je citanie cudzoch mailov, ale predsalen je to zasah do sukromia, a predpokladam, ze po uverejneni tohto kratkeho "clanku" sa zopar veci na azete zmeni (len dufam, ze z toho nebude dalsia zaloba :))
P.S.2: Odskusane len na IEXPLORE vo WIN
Po ohlaseni chybu Azetu, bola chyba rychlo odstranena ! (do 10 min.)
VYHLASENIE AZET:
Co sa tyka ohlasenej chyby.
Sposobil ju zamestnanec, s ktorym sme ukoncili pracovny pomer v jan. 2002. Heslo nebolo heslom ku mailovej schranke, ale k inzeratu. V urcitych pripadoch sa mohlo stat, ze bolo totozne s heslom k mailovej schranke. Vypis bol urceny pre pracovnikov podpory pre pouzivatelov.

blackohle.sk