Neuer MyBlogLog Exploit
Durch schlampige Programmierung ist es kinderleicht sich als Co-Autor für MyBlogLog Seiten hinzuzufügen, so funktionierts:
- Co-Author hinzufügen auswählen
- Jetzt den Namen eines MyBlogLog Mitglieds eintragen
- Danach wird eine E-Mail an das Mitglied geschickt, diese wird oft nicht gelesen oder landet im Spam Ordner.
Der enthaltene Link in der Mail um den Co-Author freizuschalten gestaltet sich so:
http://www.mybloglog.com/buzz/add_author_conf.php?sid=2000117014528912&mid=2000031118261892
SID = Site ID, das ist die ID der Community
MID = Member ID, zu diesem Autor wurde die Mail geschickt
Wird diese URL aufgerufen wird der Autor sofort hinzugefügt, ohne Password Eingabe oder sonstige Sicherheitsmechanismen. Selbstverständlich ist die SID und MID leicht gegen andere IDs auszutauschen.
Bislang ist der Bug immer noch nicht behoben worden! MyBlogLog ist schon des öfteren durch solche Exploits in die Schlagzeilen geraten, sowas zerstört eine Community. Ich poste normalerweise keine Exploits doch MyBlogLog sollte endlich einmal aufwachen..
Noch keine Kommentare. Sei der erste!
Schreibe einen Kommentar:
