Koobi again

Mittlerweile weiß ich nicht, ob es an der fehlenden Support-Strategie von dream4, an den illegalen Lizenzen, oder an der Faulheit der Webmaster liegt…

Ein Bekannter hat seine eigene Seite mit Koobi betrieben.
Hat.
Nachdem so ein dummes türkisches Script-Kiddie gemeint hat, seinen Namen auf der Seite zu verewigen…
Naja, jedenfalls war es schnell raus, woran es lag, Problem gefixt.

Gefunden wurde seine Seite über Google mit einem passenden Google-Dork, lustigerweise aber noch so an die 100 Seiten mehr.
Ich war wieder mal so frei, und hab‘ einen „Gruppen-Newsletter“ an alle CMS-Betreiber geschickt.

Inhalt:

Betreff: Sicherheitslücke auf www.domain.tld

Hallo Webmaster,

Du solltest DRINGEND mal Deine Koobi-Installation unter www.domain.tld
aktualisieren, denn aktuell kann jeder a) die Email-Adressen und
b) die zugehörigen Paßwörter (md5-Hash) lesen.

PoC: http://www.domain.tld/index.php?*HIER DER SQL-QUERY*

Ebenso würde ich Dich bitten:
a) alle Deine User darauf aufmerksam zu machen (Newsletter) und sie zu bitten, deren Pwds zu ändern, und
b) das auf Deiner Startseite bekannt zu geben, damit ich sehen kann, daß ich den Usern nicht selbst eine Email senden muß… 😉

Grüße

Lonesome Walker

Ich denke, das ist freundlich, aber bestimmt…

2 Kommentare zu “Koobi again”

  1. Knut

    Und ? Gab es eine Reaktion ?

  2. Lonesome Walker

    Jaein ^^
    Ein einziger Seitenbetreiber hat sich gemeldet.
    Hatte Probleme mit Update/Upgrade, daher zu faul 😀

Dein Kommentar:

» bevor Du Deinen Senf abgibst...
(solltest Du im eigenen Interesse angeklickt & gelesen haben...)


blog powered by wordpress
Design by Office and IT - Business Solutions
Optimiert durch suchmaschinen-freundlich