Subscribe

Παρασκευή, 14 Αυγούστου 2009

Σημαντικές τρύπες στην σελίδα του Πανεπιστημίου Ιωαννίνων



Αρκετές τρύπες εντοπίστηκαν σε έλεγχο της ιστοσελίδας του πανεπιστημίου των Ιωαννίνων (http://www.uoi.gr/).

Συγκεκριμένα η ιστοσελίδα είναι ευάλωτη στο να δεχθεί επιθέσεις XSS, SQL Injection καθώς επίσης και το module rewrite του Apache που τρέχει είναι ευάλωτο σε buffer overflow επιθέσεις.

Τα περισσότερα από αυτά τα προβλήματα έχουν να κάνουμε το γεγονός ότι ο web server δεν τρέχει τις τελευταίες εκδόσεις Apache και php κάτι που σημαίνει ότι το θέμα της ασφάλειας της ιστοσελίδας του πανεπιστήμιου έχει περάσει σε δεύτερη μοίρα.

Ήδη έχουμε έρθει σε επικοινωνία με τον web master της σελίδας για να τον ενημερώσουμε λεπτομερέστατα.Είναι σημαντικό τα πανεπιστημιακά ιδρύματα μας για ευνόητους λόγους να έχουν ασφαλείς ιστοσελίδες.

Δευτέρα, 10 Αυγούστου 2009

Επιθέση στην ιστοσελίδα του δήμου Δάφνης

Επίθεση στην ιστοσελίδα του δήμου Δάφνης (www.dafni.gr) έγινε προχτές από κάποιον defacer με το όνομα ZoRRoKiN.Ουσιάστικα το μόνο που κατάφερε ήταν να σηκώσει κάποιο αρχείο και όχι να αλλάξει την αρχική σελίδα.

Επίθεση δέχτηκε και το δεύτερο domain του δήμου (www.dimosdafnis.gr/) από αρμένιους χάκερς οι οποίοι ανάρτησαν μία σελίδα σε έναν υποφάκελο του dimosdafnis.gr με υβριστικό περιεχόμενο για την Ελλάδα.

Screenshot:



Το ευτήχημα ήταν ότι άμεσα υπήρχε απόκριση από τους διαχειριστές της σελίδας και έτσι δεν παρέμειναν αλλοιωμένες για μεγάλο διάστημα.

Ωστόσο η συγκεκριμένη ιστοσελίδα δεδομένου ότι τρέχει και την έκδοση IIS 6.0 παρουσιάζει κάποια κενά με το σημαντικότερο να είναι η επιλογή εντελώς αδύναμων password στον διακομιστή pop3 του συστήματος.

Προκειμένου ότι πρόκειται για ιστοσελίδα δήμου δεν θα ανακατευτούμε περαιτέρω.Εξάλλου η αντιμετώπιση του deface ήταν άμεση.