Знаходження панелі адміністратора

23:56 14.12.2011

Продовжуючи розпочату традицію, після попереднього відео про 50 шляхів для ін’єкції SQL, пропоную нове відео на веб секюріті тематику. Цього разу відео про знаходження панелі адміністратора. Рекомендую подивитися всім хто цікавиться цією темою.

How To Find The Admin Control Panel Page

В даному відео ролику розповідається про те, як знайти панель адміна. При наявності дірки на сайті, наприклад, SQL Injection, через яку отримали логін і пароль адміна, або XSS, через яку отримали авторизаційний кукіс, з’являється необхідність знайти адмінку. Особливо якщо сайт не на публічному движку, або на публічному, але движок замасковано, або просто адмінка схована (в тому числі, коли сам веб додаток надає можливість змінити шлях адмінки, наприклад, під час інсталяції). Тобто коли шлях до адмінки невідомий і потрібно її знайти на сайті.

У відео показане використання програми (Perl-скрипта) для пошуку адмінки. Сама програма Admin Control Panel Finder представляє собою сканер ресурсів зі стандартними шляхами, але заточена саме на пошук адмінок. Рекомендую подивитися дане відео для розуміння векторів атак через Predictable Resource Location уразливості.


Leave a Reply

You must be logged in to post a comment.