Bài viết: Khai thác lỗi ASP-Nuke 1.3.006 Ngày viết: 2-1-2004 Ứng dụng: ASP-Nuke 1.3.006 và các version trước. Ngôn ngữ: ASP Nền tảng: IIS 5.1, MS Access Lỗi: Không mã hóa Password Tác giả: newbie6290 1.Mô tả: Ứng dụng ASP-Nuke 1.3.006 là một ứng dụng portal và forum mã nguồn mở dễ dàng sử dụng cũng như sửa chữa. ASP-Nuke 1.3.006 được sử dụng rộng rãi và tương đối nhiều trên Internet. Các bạn có thể download ở http://www.asp-nuke.com. Lỗi là việc các dữ liệu lưu trữ MDB có trên server không được mã hóa và bảo mật kĩ lưỡng. 2.Chi tiết: Đây là lỗi rất quan trọng và dễ khai thác đối với các newbie mới vào nghề. Khi bạn dã từng sử dụng qua các ứng dụng web mã nguồn mở trên Local Host thì bạn có thể dễ dàng tìm hiểu phương pháp họạt động và xem nó có mã hóa Database không. Đó cũng là một kinh nghiệm quý báu cho mọi người, các bạn hãy sử dụng qua thử và cố gắng tìm kiếm một lỗi nào của nó. Khi làm trên Local Host các bạn có thể dễ dàng tìm lỗi, khai thác chúng và đỡ mất thời gian Online. Thư mục chứa Database của ASP-Nuke 1.3.006 nằm như sau: http://target/ASP-Nuke 1.3/db/main.mdb 3.Khai thác lỗi: Các bạn hãy lên Search Engine như Google hay Yahoo: + http://www.google.com.vn + http://www.yahoo.com Và tìm kiếm với từ khóa là “Designed with ASP-Nuke v1.3.006”. Từ URL của victim bạn thêm vào /db/main.mdb. Sau khi download Database về thì bạn mở ra và vào table users, tất cả User và Password đã nằm trong tay bạn rồi đó. // Phần này Security.com.vn không đồng ý Intelli Tamper chỉ liệt kê thư mục và file dựa trên các đường link // 4. Giải pháp : Chúng ta có thể thay đổi đường dẫn mặc định chứa DB , hoặc các bạn có thể sử dụng SQL Server cho database , ở file đăng ký member chúng ta có thể thêm chức năng mã hoá mật khẩu khi lưu vào CSDL