A-CART là một ASP shopping card (ứng dụng từ VBScript) được kết hợp từ một số hàm của VBScript và Access database
Lỗ hổng bảo mật được phát hiện bởi Nick HX ngày 05/09/02 cho phép bạn có thể download file database trong những website dùng shopping A-CARD mà không cần phải có bất cứ một quyền hạn gì trên website đó! Hic choáng thật!
Những thông tin trong file database rất quan trọng, nó có thể chứa nhiều thông tin như: name, surname, address, e-mail, credit card number, user's login-password....
OK, bây giờ chúng ta cùng thực hành lỗi này:
Đầu tiên các bạn vào
http://google.com (Các bạn có thể vào các site tìm kiếm khác như
http://av.com....) search keyword "acart2_0".
OK, bây giờ bạn đã thấy rất nhiều site bị mắc lỗi này. Do kinh nghiệm mình khuyên các bạn nên chọn những site có dạng
http://url/acart2_0/ ví dụ site
http://www.coolrob.com/cart/acart2_0Các bạn có tin rằng mình download được file mdb của nó không? không tin à? thử gõ thêm
/acart2_0.mdb vào đằng sau url trên như hình dưới coi!
Ngay khi click GO! các bạn thấy xuất hiện thông báo save hoặc open file mdb này! Thành công rồi đó! nhanh nhanh save vào đi...
Nhìn màn hình download mà muốn khóc quá !
)
Công việc còn lại là đọc file acart2_0.mdb này! He he he..
Tương tự cho những site bị lỗi này, các bạn còn chờ gì nữa mà không khám phá!