«Белый хакер» рассказал о возможности открыть «админку» магазина «Студии Лебедева» и других сайтов при помощи «символа пробела»

Сервера могут после-разному воспринимать присланную пользователем информацию. Принято, что %20 или знак + в параметрах принимается по (по грибы) пробел. Запрос на директорию /folder/test/%2e%2e/page — нормализуется раньше /folder/page, ибо %2e — точка в urlencode.

— Митя Бумов

Бумов рассказал, что когда-то обнаружил возможность получить доступ к интерфейсу административной панели одного изо поддоменов «Яндекса», добавив при обращении к директории «/admin/» знак пробела (%20).

«Внутренние ссылки опять двадцать пять просили логин и пароль, однако, подменив вступление строки «/admin/» в ответе сервера бери «/admin%20/», админкой можно было пользоваться», — утверждает Бумов.

Согласно его словам, позднее он сообщил об этом «Яндексу», и незащищенность была устранена.

Digital-директор компании Hydrop Артём Пиковский нате своей странице в Facebook опубликовал скриншот интерфейса административной панели магазина «Студии Артемия Лебедева». В разговоре с vc.ru дьявол пояснил, что на это обратил направлять (глаза) один из пользователей, прочитавших об уязвимости в блоге Бумова.

Редакции vc.ru в ходе эксперимента тоже удалось получить доступ к главным страницам административной панели нескольких организаций. Рядом попытке перейти по внутренним ссылкам сайты требовали определить логин и пароль. При этом присоединение символа пробела не всегда решает проблему, а в некоторых сайтах вовсе не работает.

Интерфейс административной панели магазина «Студии Артемия Лебедева»Интерфейс административной панели проекта NASA EarthData
Источник: vc.ru