«Белый хакер» рассказал о возможности открыть «админку» магазина «Студии Лебедева» и других сайтов при помощи «символа пробела»

Сервера могут по части-разному воспринимать присланную пользователем информацию. Принято, что %20 или знак + в параметрах принимается ради пробел. Запрос на директорию /folder/test/%2e%2e/page — нормализуется раньше /folder/page, ибо %2e — точка в urlencode.

— Митяй Бумов

Бумов рассказал, что некогда обнаружил возможность получить доступ к интерфейсу административной панели одного с поддоменов «Яндекса», добавив при обращении к директории «/admin/» тавро пробела (%20).

«Внутренние ссылки заново просили логин и отзыв, однако, подменив вхождение строки «/admin/» в ответе сервера возьми «/admin%20/», админкой можно было пользоваться», — утверждает Бумов.

Вдоль его словам, позднее он сообщил об этом «Яндексу», и небезупречность была устранена.

Digital-директор компании Hydrop Артём Пиковский в своей странице в Facebook опубликовал скриншот интерфейса административной панели магазина «Студии Артемия Лебедева». В разговоре с vc.ru симпатия пояснил, что на это обратил уважение один из пользователей, прочитавших об уязвимости в блоге Бумова.

Редакции vc.ru в ходе эксперимента вот и все удалось получить доступ к главным страницам административной панели нескольких организаций. Рядом попытке перейти по внутренним ссылкам сайты требовали вколоть логин и пароль. При этом подкачивание символа пробела не всегда решает проблему, а получи и распишись некоторых сайтах вовсе не работает.

Интерфейс административной панели магазина «Студии Артемия Лебедева»Интерфейс административной панели проекта NASA EarthData
Источник: vc.ru