АТУ — Номинация дырка года!

За последнее время мы изучили многие казахстанские вузы. Практически везде были найдены уязвимости, в основном, это раскрытие путей и xss. Не мало обнаружили sql инъекций. Но «Алматинский Технологический Университет» (atu.kz) стал абсолютным эталоном. Когда мы сканировали их сервер документооборота, наткнулись на одну интересную строчку:

Как вы думаете, что же они расшарили в публичную сеть? Думаете, каталог со всеми документами?.. Конечно нет, зачем? Админы АТУ оголили перед всем интернетом свой корень!

Да, именно так. Любой желающий может подцепиться к smb://doc.atu.kz и читать большинство файлов на сервере (кроме тех, что только для рута). К примеру, вот каталог админа:

Этого вполне достаточно, чтобы получить список логинов и паролей всех пользователей из базы данных, а также скачать весь документооборот за последние три года. Кому интересно, можете глянуть список из 36.306 документов, что мы скачали, ну а ниже просто их случайная выбрка:



Ну и так далее… Надеюсь, кто-то из наших читателей сообщит в АТУ и они прекратят это несказанное недоразумение… Ну а пока они остаются беспорными обладателями титула «Дырка года» от KazHackMe! 😉

It lo

3 thoughts on “АТУ — Номинация дырка года!

  1. Добрый вечер. Нужное дело делаете!
    Есть предложение о сотрудничестве. Прошу выйти на связь. Рахмет!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *