JК
Искусство вторжения :: Митник Кевин
Страница: 266 из 415pl, которая недостаточнотщательно проверяет данные, передаваемые ей. (Различие лишь в операционных системах. Метод Эрика работал в среде Windows: метод Роберта — в Linux). Злонамеренный атакующий может послать такую команду, которая поменяет значение некоторого параметра таким образом, что текст может измениться на другой Perl-текст, который будет исполнять произвольные команды. Благодаря этой оплошности программиста атакующий может встраивать собственные команды.
С помощью этого метода можно было обманывать setup.pl, заставляя его думать, что атакующий только что установил SubscribeList и хочет сделать начальную установку параметров. Роберт мог использовать этот трюк с любой компанией, которая использовала уязвимую версию программного обеспечения. Как же ему отыскать мазохистскую компанию, которая удовлетворяла бы этим требованиям?
Текст программы, по словам самого Роберта, « б ы л очень хитрым и извилистым». Когда работа программы заканчивалась, она уничтожала все следы своего присутствия и возвращала все значения переменных к их начальным величинам, так что никто не мог ничего сказать о случившемся. «И насколько я знаю, никто не смог заметить ее действия».
Ни один разумный хакер не стал бы посылать эти файлы прямо на свой компьютер таким образом, что его можно было бы выследить. «Я настоящий ф а н а т Интернета. Я люблю Интернет. С е т ь допускает анонимность. Вы можете войти в Интернет из какого-нибудь кафе и никто не догадается, кто вы на самом деле.
С помощью этого метода можно было обманывать setup.pl, заставляя его думать, что атакующий только что установил SubscribeList и хочет сделать начальную установку параметров. Роберт мог использовать этот трюк с любой компанией, которая использовала уязвимую версию программного обеспечения. Как же ему отыскать мазохистскую компанию, которая удовлетворяла бы этим требованиям?
Текст программы, по словам самого Роберта, « б ы л очень хитрым и извилистым». Когда работа программы заканчивалась, она уничтожала все следы своего присутствия и возвращала все значения переменных к их начальным величинам, так что никто не мог ничего сказать о случившемся. «И насколько я знаю, никто не смог заметить ее действия».
Ни один разумный хакер не стал бы посылать эти файлы прямо на свой компьютер таким образом, что его можно было бы выследить. «Я настоящий ф а н а т Интернета. Я люблю Интернет. С е т ь допускает анонимность. Вы можете войти в Интернет из какого-нибудь кафе и никто не догадается, кто вы на самом деле.