«Белый хакер» рассказал о возможности открыть «админку» магазина «Студии Лебедева» и других сайтов при помощи «символа пробела»
Специалист по безопасности компании ONsec Дмитрий Бумов рассказал в своём блоге, что при помощи символа пробела в адресной строке (%20) можно получить доступ к интерфейсу главной страницы администрационной панели некоторых сайтов.
Сервера могут по-разному воспринимать присланную пользователем информацию. Общепринято, что %20 или знак + в параметрах принимается за пробел. Запрос на директорию /folder/test/%2e%2e/page — нормализуется до /folder/page, ибо %2e — точка в urlencode.
— Дмитрий Бумов
Бумов рассказал, что однажды обнаружил возможность получить доступ к интерфейсу административной панели одного из поддоменов «Яндекса», добавив при обращении к директории »/admin/» знак пробела (%20).
«Внутренние ссылки заново просили логин и пароль, однако, подменив вхождение строки »/admin/» в ответе сервера на »/admin%20/», админкой можно было пользоваться», — утверждает Бумов.
По его словам, позднее он сообщил об этом «Яндексу», и уязвимость была устранена.
Digital-директор компании Hydrop Артём Пиковский на своей странице в Facebook опубликовал скриншот интерфейса административной панели магазина «Студии Артемия Лебедева». В разговоре с vc.ru он пояснил, что узнал об уязвимости от неназванного пользователя, который решил воспользоваться описанным в блоге Бумова методом.
Редакции vc.ru в ходе эксперимента также удалось получить доступ к главным страницам административной панели нескольких организаций. При попытке перейти по внутренним ссылкам сайты требовали ввести логин и пароль. При этом добавление символа пробела не всегда решает проблему, а на некоторых сайтах вовсе не работает.
Интерфейс административной панели магазина «Студии Артемия Лебедева»
Интерфейс административной панели проекта NASA EarthData© vc.ru
