08-05-2013, 11:41 PM
assalamualaikum wr wb
kembali lagi dengan saya admin white hat NO PROTES
=))
nah kali ini mau share betapa bahaya nya system enkripsi yang diterapkan oleh ispconfig.
anggap saja saya mendapatkan bug sql injection pada sebuah site aaaa.com
kemudian melakukan attacking, hingga berhasil mengupload backdoor
mencari file config dan berinteraksi dengan database system hingga terjadi seperti ini
dari hasil itu dapat kita simpulkan betapa bahayanya level akses dan user yang kita gunakan untuk config web kita yang hanya membutuhkan sebuah database tapi memberi kan level akses ke semua database pada sistem
it's too harmfull
berawal dari eksplorasi database per database
table per table
searching informasi tentang ispconfig dan sistem nya
hingga menemukan bagaimana cara mendapatkan akses adminnya hingga menjadi seperti ini
kemudian mendalami sehingga memiliki level account yang sama yaitu seperti ini
betapa bahayanya level user pada config sebuah web yang digunakan beserta privileges dari user tersebut
ingat jangan memberikan level privileges lebih jika tidak digunakan sesuai kebutuhan
sedikit info setelah googling mengenai sistem ispconfig yang "hanya" menggunakan encrypt "crypt" katanya namun bisa juga diganti dengan kata lain reset dengan md5 "" sehingga
saya pun bisa mendapatkan level admin tertinggi dan buat user dengan level admin tertinggi pada gambar 3
jadi, sedikit pelajaran buat kita para sysadmin server dan web administrator
use the right way privileges
regards
junio.riau18 a.k.a little dragon
kembali lagi dengan saya admin white hat NO PROTES
=))
nah kali ini mau share betapa bahaya nya system enkripsi yang diterapkan oleh ispconfig.
anggap saja saya mendapatkan bug sql injection pada sebuah site aaaa.com
kemudian melakukan attacking, hingga berhasil mengupload backdoor
mencari file config dan berinteraksi dengan database system hingga terjadi seperti ini
dari hasil itu dapat kita simpulkan betapa bahayanya level akses dan user yang kita gunakan untuk config web kita yang hanya membutuhkan sebuah database tapi memberi kan level akses ke semua database pada sistem
it's too harmfull
berawal dari eksplorasi database per database
table per table
searching informasi tentang ispconfig dan sistem nya
hingga menemukan bagaimana cara mendapatkan akses adminnya hingga menjadi seperti ini
kemudian mendalami sehingga memiliki level account yang sama yaitu seperti ini
betapa bahayanya level user pada config sebuah web yang digunakan beserta privileges dari user tersebut
ingat jangan memberikan level privileges lebih jika tidak digunakan sesuai kebutuhan
sedikit info setelah googling mengenai sistem ispconfig yang "hanya" menggunakan encrypt "crypt" katanya namun bisa juga diganti dengan kata lain reset dengan md5 "" sehingga
saya pun bisa mendapatkan level admin tertinggi dan buat user dengan level admin tertinggi pada gambar 3
jadi, sedikit pelajaran buat kita para sysadmin server dan web administrator
use the right way privileges
regards
junio.riau18 a.k.a little dragon