Lonesome Walker

Mittlerweile weiß ich nicht, ob es an der fehlenden Support-Strategie von dream4, an den illegalen Lizenzen, oder an der Faulheit der Webmaster liegt…

Ein Bekannter hat seine eigene Seite mit Koobi betrieben.
Hat.
Nachdem so ein dummes türkisches Script-Kiddie gemeint hat, seinen Namen auf der Seite zu verewigen…
Naja, jedenfalls war es schnell raus, woran es lag, Problem gefixt.

Gefunden wurde seine Seite über Google mit einem passenden Google-Dork, lustigerweise aber noch so an die 100 Seiten mehr.
Ich war wieder mal so frei, und hab‘ einen „Gruppen-Newsletter“ an alle CMS-Betreiber geschickt.

Inhalt:

Betreff: Sicherheitslücke auf www.domain.tld

Hallo Webmaster,

Du solltest DRINGEND mal Deine Koobi-Installation unter www.domain.tld
aktualisieren, denn aktuell kann jeder a) die Email-Adressen und
b) die zugehörigen Paßwörter (md5-Hash) lesen.

PoC: http://www.domain.tld/index.php?*HIER DER SQL-QUERY*

Ebenso würde ich Dich bitten:
a) alle Deine User darauf aufmerksam zu machen (Newsletter) und sie zu bitten, deren Pwds zu ändern, und
b) das auf Deiner Startseite bekannt zu geben, damit ich sehen kann, daß ich den Usern nicht selbst eine Email senden muß… 😉

Grüße

Lonesome Walker

Ich denke, das ist freundlich, aber bestimmt…

Ohne Worte

Sollte das Video auch von Youtube verschwinden, macht nichts, ich hab‘ ein Backup…

Und für alle, die nicht wissen, wer das ist:

Endlich is sie fertig:
die Studie über Webworker

Wen wunderts, daß die meisten Webworker aus meinem Jahrgang (plus-minus 3 Jahre) sind.
Der Verdienst ist bezeichnend *g*

Zu den Ergebnissen:  HIER