Koobi again

Mittlerweile weiß ich nicht, ob es an der fehlenden Support-Strategie von dream4, an den illegalen Lizenzen, oder an der Faulheit der Webmaster liegt…

Ein Bekannter hat seine eigene Seite mit Koobi betrieben.
Hat.
Nachdem so ein dummes türkisches Script-Kiddie gemeint hat, seinen Namen auf der Seite zu verewigen…
Naja, jedenfalls war es schnell raus, woran es lag, Problem gefixt.

Gefunden wurde seine Seite über Google mit einem passenden Google-Dork, lustigerweise aber noch so an die 100 Seiten mehr.
Ich war wieder mal so frei, und hab‘ einen „Gruppen-Newsletter“ an alle CMS-Betreiber geschickt.

Inhalt:

Betreff: Sicherheitslücke auf www.domain.tld

Hallo Webmaster,

Du solltest DRINGEND mal Deine Koobi-Installation unter www.domain.tld
aktualisieren, denn aktuell kann jeder a) die Email-Adressen und
b) die zugehörigen Paßwörter (md5-Hash) lesen.

PoC: http://www.domain.tld/index.php?*HIER DER SQL-QUERY*

Ebenso würde ich Dich bitten:
a) alle Deine User darauf aufmerksam zu machen (Newsletter) und sie zu bitten, deren Pwds zu ändern, und
b) das auf Deiner Startseite bekannt zu geben, damit ich sehen kann, daß ich den Usern nicht selbst eine Email senden muß… 😉

Grüße

Lonesome Walker

Ich denke, das ist freundlich, aber bestimmt…

2 Kommentare zu “Koobi again”

  1. Knut

    Und ? Gab es eine Reaktion ?

  2. Lonesome Walker

    Jaein ^^
    Ein einziger Seitenbetreiber hat sich gemeldet.
    Hatte Probleme mit Update/Upgrade, daher zu faul 😀

Dein Kommentar:

» bevor Du Deinen Senf abgibst...
(solltest Du im eigenen Interesse angeklickt & gelesen haben...)


blog powered by wordpress
Design by Office and IT - Business Solutions
Optimiert durch suchmaschinen-freundlich

Cookie Preference

Please select an option. You can find more information about the consequences of your choice at Help.

Select an option to continue

Your selection was saved!

Help

Hilfe

Um meine Seite zu besuchen, mußt Du eine Wahl bzgl. der Cookies treffen.

  • Ale Cookies akzeptieren:
    Da kommt der ganze Tracking-Scheiss...
  • Nur first-party Cookies akzeptieren:
    Nur die Cookies meiner Wordpress-Installation.
  • Alle Cookies ablehnen >:-):
    Gar keine Cookies außer vielleicht so Session-Kram (ansonsten deaktiviere bitte Cookies im Webbrowser).

Mein Versprechen: Datenschutz.

Back