Thursday, June 09, 2011

Thursday, June 09, 2011
Salam perkenalan kepada pengunjung baru KH , disini kami memaparkan info-info tentang dunia siber , kalau anda berminat tentang post kami , datanglah jenguk selalu yer.

Okeh , berbalik kepada tajuk Laman web yang disebutkan ialah 1pengguna.com yang berpotensi KENAHACK , hermm boleh percaya ke? Bukan apa , KH ada buat sedikit carian tentang Laman 1pengguna.com nih. Kononnya laman ni berharga RM1.4 Juta. dan mempunyai ciri-ciri keselamatan yang utuh :-D.

ScreenShot Laman 1pengguna.com

Ehem ehem , laman ini agak cantik la berbanding KH nih kan , yer la mana tak nya kos pembinaan KH cuma RM30 berbanding kos 1pengguna.com tu. Tapi harap-harap KH xder la vuln / bug macam laman 1pengguna.com ni.

Sekarang KH nak terangkan lebih terperinci sikit tentang laman 1pengguna ni yang mempunyai vulnerable /bug yang membolehkan hackers melakukan suntikan ( injection ).

KH cuma perlu pergi ke enjin carian google.com.my untuk melakukan carian dan menggunakan dork

" site:1pengguna.com inurl:id= " dan mendapat keputusan ini .

Pilih satu alamat , cthnya : http://www.1pengguna.com/customregister/tip_detail.php?id=4


kemudian inject string ' , cthnya : http://www.1pengguna.com/customregister/tip_detail.php?id=4'
Maka akan keluar error SQL yang menunjukkan laman ini dapat disuntik melalui sql.




Dan mendapat beberapa keputusan yang memberangsangkan.



Jadi , jika diperhatikan data yang KH sempat download daripada laman tersebut , terdapat akaun admin yang membolehkannya berpotensi untuk dihack.

KH harap pihak yang berkaitan segera mambaiki vuln ini yer.

Post berkaitan Laman web ini :
- http://www.murkiester.com/Blog/2011/06/1pengguna-com-rm1-4-juta.html
- http://amanz.my/2011/06/1pengguna/
- http://malaysiascore.blogspot.com/2011/06/portal-1malaysia-pengguna-bijak-1mpb-1.html
- http://mstar.com.my/berita/cerita.asp?file=/2011/6/9/mstar_berita/20110609160751&sec=mstar_berita
- http://mynewshub.my/bm/2011/06/09/portal-1pengguna-capai-3-5-juta-hits/
- http://www.bernama.com/bernama/v5/bm/newsindex.php?id=592648


p/s : Vulnerable ini dijumpai oleh saudara DarkX daripada Rilekscrew | h3x4 crew | Newbiecoder | WAHFM.


Setelah post ini dilancarkan , ianya mendapat reaksi pihak :
- http://www.themalaysianinsider.com/malaysia/article/1pengguna-site-hit-by-security-breach-2000-accounts-exposed/
- http://alditta.blogspot.com/2011/06/1pengguna-site-hit-by-security-breach.html
- http://mforum.cari.com.my/viewthread.php?tid=546695&highlight=1pengguna
- http://carigold.com/portal/forums/showthread.php?p=9784115
- http://www.lowyat.net/v2/index.php?option=com_content&task=view&id=4561&Itemid=1
- http://forum.lowyat.net/topic/1912609/+0#entry42984909






Update : File dipatch , KPDNKK emailed :D Harap berfikiran positif yer.


0 comments :

Post a Comment

Terima Kasih atas komem anda (^_~)