home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack / freestats-cgi.txt < prev    next >
Encoding:
Internet Message Format  |  1998-12-04  |  2.7 KB
  1. Date: Sat, 21 Nov 1998 12:54:41 -0500
  2. From: John Carlton <techhelp@ROCKETMAIL.COM>
  3. To: BUGTRAQ@netspace.org
  4. Subject: Freestats.com CGI vulnerability
  5.  
  6. About a year ago I developed an exploit for the free web stats services offered at freestats.com, and supplied the webmaster with proper code to
  7. patch the bug.  After hearing no reply, and seeing no fix in sight, I've decided to post it here.
  8.  
  9. Procedure:
  10.  
  11. Start an account with freestats.com, and log in.  Click on the area that says "CLICK HERE TO EDIT YOUR USER PROFILE & COUNTER INFO"  This will
  12. call up a file called edit.pl with your user # and password included in it.
  13.  
  14. Save this file to your hard disk and open it with notepad.  The only form of security in this is a hidden attribute on the form element of your
  15. account number.  Change this from *input type=hidden name=account value=your#* to *input type=text name=account value=""*  Save your page and load
  16. it into your browser.
  17.  
  18. Their will now be a text input box where the hidden element was before.  Simply type a # in and push the "click here to update user profile" and
  19. all the information that appears on your screen has now been written to that user profile.
  20.  
  21. But that isn't the worst of it.  By using frames (2 frames, one to hold this page you just made, and one as a target for the form submission) you
  22. could change the password on all of their accounts with a simple JavaScript function.
  23.  
  24. Any thoughts, questions, or comments?
  25.  
  26. John Carlton,
  27. CompSec specialist.
  28.  
  29.  
  30. -----------------------------------------------------------------
  31.  
  32. Aviram Jenik (aviram@JENIK.COM)
  33. Tue, 24 Nov 1998 20:09:53 +0200 
  34.  
  35. I believe they fixed it now. Or at least, they changed the perl script (to "stat2.pl"), changed the product to "site tracker" and changed the user logon screen.
  36. So it looked like someone did get your messages after all (or someone there is reading bugtraq ;-)
  37.  
  38. --
  39. -------------------------
  40. Aviram Jenik
  41.  
  42. "Addicted to Chaos"
  43.  
  44. -------------------------
  45. Today's quote:
  46.  
  47. I'm not into working out. My philosophy: No pain, no pain.
  48.  - Carol Leifer
  49.  
  50. -----------------------------------------------------------------
  51.  
  52. Aviram Jenik (aviram@JENIK.COM)
  53. Tue, 24 Nov 1998 20:14:29 +0200 
  54.  
  55. Naturally, just mili-seconds after I sent my last mail I saw that I was dead wrong.
  56. Apparantely, deep inside the web site they still have the good old "edit.pl" script. It takes some time to reach it (unlike the path you described) but you can reach it directly at:
  57. http://www.sitetracker.com/cgi-bin/edit.pl?account=&password=
  58.  
  59. I just tested your exploit, and it seems to work nicely.
  60.  
  61. --
  62. -------------------------
  63. Aviram Jenik
  64.  
  65. "Addicted to Chaos"
  66.  
  67. -------------------------
  68. Today's quote:
  69.  
  70. I'm not into working out. My philosophy: No pain, no pain.
  71.  - Carol Leifer
  72.