ကိုလင္း- သလႅာဝတီ created a doc.
DBKL Web Vulnerability ( For Knowledge )
DBKL Web Vulnerability ( For Knowledge )
Website ေတာ္ေတာ္မ်ားမ်ားက Web Vulnerability နဲ႔ လြတ္ဖုိ႔ဆုိတာ ခဲယဥး္ပါတယ္... ၀င္ေရာက္ေမြေႏွာက္တဲ႔နည္းလမ္းေတ
www.dbkl.gov.my မွာ XSS ၿဖစ္တာကုိ http://www.xssed.com/mirror/
DBKL Web Vulnerability ( For Knowledge )
Website ေတာ္ေတာ္မ်ားမ်ားက Web Vulnerability နဲ႔ လြတ္ဖုိ႔ဆုိတာ ခဲယဥး္ပါတယ္... ၀င္ေရာက္ေမြေႏွာက္တဲ႔နည္းလမ္းေတ
www.dbkl.gov.my မွာ XSS ၿဖစ္တာကုိ http://www.xssed.com/mirror/
တစ္ခ်ဳိ႕က XSS က SQL Injection ေလာက္ေၾကာက္စရာမေကာင္းဘူးလုိ႔ထင
XSS အေၾကာင္းကုိ ေမာင္အင္ဖုိေခၚ ကုိ CyberHunter တင္ထားတာ ေတြ႔ဖူးပါတယ္။ ရွာေဖြၿပီးဖတ္ၾကပါ။
အဓိကေၿပာခ်င္တာက Site တစ္ခုမွာ ဘယ္လုိ Error ပဲၿဖစ္ေစ တစ္ခုၿဖစ္ရင္ အဲ႔တစ္ခုတည္းပါဆုိၿပီး သတ္မွတ္လုိ႔မရပါဘူး။ အားနဲတဲ႔ဟာ ကြက္တစ္ခုက တစ္ၿခား ေနာက္၀င္လာမဲ႔ တုိက္ခုိက္မႈကုိ အၿမဲတမ္း လမ္းဖြင့္ေပးေနတတ္ပါတယ္။
ဒီ site ကုိ ထပ္စစ္ၾကည့္ရေအာင္
Microsoft SQL Server 2000 - 8.00.2050 (Intel X86) Mar 7 2008 21:29:56 Copyright (c) 1988-2003 Microsoft Corporation
Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
Databases: master
------------tempdb
------------model
------------msdb
------------pubs
------------Northwind
------------DBKL
------------penjaja
------------dbkl_test
------------dbkl_datakeyin
------------lesendmg
Database Table နဲ႔ Columns ေတြကုိေတာ့ အရမ္းမ်ားလုိ႔ text ဖုိင္နဲ႔ တင္ထားပါတယ္။
www.planetcreator.net/images/
အဲ႔ host မွာ .gov ေတြ အမ်ားၾကီးရွိေသးတယ္.. အကုန္လုံး e-Online Management System ေတြ ေဒါင္းကုန္ဦးမယ္...
အရုိးရွင္းဆုံးေၿပာရရင္ DBKL site ကုိ ဟက္ခ်င္တယ္.. ဒါဆုိရင္ www.dbkl.gov.my ကုိ၀င္မွာေပါ႔ အကယ္လုိ႔မ်ား ဒီ site က Inject လုပ္မရရင္ သူနဲ႔ ဆက္ႏြယ္တာကုိၾကည့္ရပါလိမ့္မယ္။ ပထမဦးဆုံး main မရေတာ့ Subdomain ေတြကုိ လုိက္ၾကည့္မွာေပါ႔.. အဲ႔ဒါ ၾကည့္မရရင္ host မွာဘာေတြတင္ထားလဲ လုိက္ၾကည့္မယ္။ ေနာက္ဆုံးမရရင္ webmaster သုိမဟုတ္ တားဂတ္ရဲ႕ တာ၀န္ရွိသူေတြကုိ ၾကည့္ ရေတာ့မွာပဲ။ ေထာင္ေခ်ာက္ေတြဆင္မယ္.. ေစာင့္ဖမ္းမယ္... စသည္စသည္....
မွတ္ခ်က္။ ။ ပညာၿဖန္႕ေ၀မႈ ပင္ၿဖစ္သည္။ မိမိၿပဳလုပ္ေသာ အၿပစ္သည္ မိမိတာ၀န္သာၿဖစ္သည္။
XSS အေၾကာင္းကုိ ေမာင္အင္ဖုိေခၚ ကုိ CyberHunter တင္ထားတာ ေတြ႔ဖူးပါတယ္။ ရွာေဖြၿပီးဖတ္ၾကပါ။
အဓိကေၿပာခ်င္တာက Site တစ္ခုမွာ ဘယ္လုိ Error ပဲၿဖစ္ေစ တစ္ခုၿဖစ္ရင္ အဲ႔တစ္ခုတည္းပါဆုိၿပီး သတ္မွတ္လုိ႔မရပါဘူး။ အားနဲတဲ႔ဟာ ကြက္တစ္ခုက တစ္ၿခား ေနာက္၀င္လာမဲ႔ တုိက္ခုိက္မႈကုိ အၿမဲတမ္း လမ္းဖြင့္ေပးေနတတ္ပါတယ္။
ဒီ site ကုိ ထပ္စစ္ၾကည့္ရေအာင္
Microsoft SQL Server 2000 - 8.00.2050 (Intel X86) Mar 7 2008 21:29:56 Copyright (c) 1988-2003 Microsoft Corporation
Enterprise Edition on Windows NT 5.2 (Build 3790: Service Pack 2)
Databases: master
------------tempdb
------------model
------------msdb
------------pubs
------------Northwind
------------DBKL
------------penjaja
------------dbkl_test
------------dbkl_datakeyin
------------lesendmg
Database Table နဲ႔ Columns ေတြကုိေတာ့ အရမ္းမ်ားလုိ႔ text ဖုိင္နဲ႔ တင္ထားပါတယ္။
www.planetcreator.net/images/
အဲ႔ host မွာ .gov ေတြ အမ်ားၾကီးရွိေသးတယ္.. အကုန္လုံး e-Online Management System ေတြ ေဒါင္းကုန္ဦးမယ္...
အရုိးရွင္းဆုံးေၿပာရရင္ DBKL site ကုိ ဟက္ခ်င္တယ္.. ဒါဆုိရင္ www.dbkl.gov.my ကုိ၀င္မွာေပါ႔ အကယ္လုိ႔မ်ား ဒီ site က Inject လုပ္မရရင္ သူနဲ႔ ဆက္ႏြယ္တာကုိၾကည့္ရပါလိမ့္မယ္။ ပထမဦးဆုံး main မရေတာ့ Subdomain ေတြကုိ လုိက္ၾကည့္မွာေပါ႔.. အဲ႔ဒါ ၾကည့္မရရင္ host မွာဘာေတြတင္ထားလဲ လုိက္ၾကည့္မယ္။ ေနာက္ဆုံးမရရင္ webmaster သုိမဟုတ္ တားဂတ္ရဲ႕ တာ၀န္ရွိသူေတြကုိ ၾကည့္ ရေတာ့မွာပဲ။ ေထာင္ေခ်ာက္ေတြဆင္မယ္.. ေစာင့္ဖမ္းမယ္... စသည္စသည္....
မွတ္ခ်က္။ ။ ပညာၿဖန္႕ေ၀မႈ ပင္ၿဖစ္သည္။ မိမိၿပဳလုပ္ေသာ အၿပစ္သည္ မိမိတာ၀န္သာၿဖစ္သည္။
No comments:
Post a Comment