Σημαντικές τρύπες στην σελίδα του Πανεπιστημίου Ιωαννίνων

Αρκετές τρύπες εντοπίστηκαν σε έλεγχο της ιστοσελίδας του πανεπιστημίου των Ιωαννίνων (http://www.uoi.gr/).

Συγκεκριμένα η ιστοσελίδα είναι ευάλωτη στο να δεχθεί επιθέσεις XSS, SQL Injection καθώς επίσης και το module rewrite του Apache που τρέχει είναι ευάλωτο σε buffer overflow επιθέσεις.

Τα περισσότερα από αυτά τα προβλήματα έχουν να κάνουμε το γεγονός ότι ο web server δεν τρέχει τις τελευταίες εκδόσεις Apache και php κάτι που σημαίνει ότι το θέμα της ασφάλειας της ιστοσελίδας του πανεπιστήμιου έχει περάσει σε δεύτερη μοίρα.

Ήδη έχουμε έρθει σε επικοινωνία με τον web master της σελίδας για να τον ενημερώσουμε λεπτομερέστατα.Είναι σημαντικό τα πανεπιστημιακά ιδρύματα μας για ευνόητους λόγους να έχουν ασφαλείς ιστοσελίδες.

Επιθέση στην ιστοσελίδα του δήμου Δάφνης

Επίθεση στην ιστοσελίδα του δήμου Δάφνης (www.dafni.gr) έγινε προχτές από κάποιον defacer με το όνομα ZoRRoKiN.Ουσιάστικα το μόνο που κατάφερε ήταν να σηκώσει κάποιο αρχείο και όχι να αλλάξει την αρχική σελίδα.

Επίθεση δέχτηκε και το δεύτερο domain του δήμου (www.dimosdafnis.gr/) από αρμένιους χάκερς οι οποίοι ανάρτησαν μία σελίδα σε έναν υποφάκελο του dimosdafnis.gr με υβριστικό περιεχόμενο για την Ελλάδα.

Screenshot:

Το ευτήχημα ήταν ότι άμεσα υπήρχε απόκριση από τους διαχειριστές της σελίδας και έτσι δεν παρέμειναν αλλοιωμένες για μεγάλο διάστημα.

Ωστόσο η συγκεκριμένη ιστοσελίδα δεδομένου ότι τρέχει και την έκδοση IIS 6.0 παρουσιάζει κάποια κενά με το σημαντικότερο να είναι η επιλογή εντελώς αδύναμων password στον διακομιστή pop3 του συστήματος.

Προκειμένου ότι πρόκειται για ιστοσελίδα δήμου δεν θα ανακατευτούμε περαιτέρω.Εξάλλου η αντιμετώπιση του deface ήταν άμεση.