Samling av sidor med säkerhetsbrister - Del 2

Verkligen. Jag sitter på två ytterligare säkerhetshål som inte kommit ut i det offentliga ännu. Men vet inte vad jag ska göra med dem.

Man skulle absolut kunna göra ett script som TS säger för att utnyttja detta hål

Ja, fast sårbarheten fungerar inte riktigt så. Som du vet så laddar man ner en PDF. Länken du angav(/doc/view/XXXXXX) är alltså inte en länk till en PDF utan en landningssida.

Så när du väl har laddat ner en PDF så kolla i Chrome(CTRL+J) och så ser du direktlänken till PDF:en och därefter kan man skriva ett skript som laddar ner alla domar. Typ i Bash.

Den faller under Access Control Vulnerability eftersom dokumenten ska finnas tillgängliga men auktoriseringen fungerar inte.

Vem som helst kan ju regga ett gratiskonto och testa om det går den vägen. Jag har som sagt bara gjort det med ett konto där jag faktiskt betalade för två nedladdningar, men upptäckte av misstag att jag kunde få fler.

Kan bekräfta att det fungerar och har inte givit lexbase ett öre! Lite synd dock att man inte kan få fram ID-nummer per person utan får i värsta fall dra ner 7 gig pdf-filer för o hitta den rätta domen.

(Dock krävs inloggning)

Ja. En nackdel med att de förmodligen är både hårt belastade pga det mediala intresset och av diverse DoS-försök är ju att det är svårt att undersöka om det finns andra svagheter.

När siten blir tillgänglig igen skall jag se om det går att på liknande sätt hitta "översikterna" av domarna (när man köper en dom får man först en sida med en sammanställning som inte är i PDF-form).

Så om man skapar sig ett gratiskonto för att sedan länka som TS så kommer man in och kan ladda ner eller måste man ha en betalande dom på kontot?

Även jag upptäckte det igår men utan konto

https://lexbase.se/person/5143797

Buggig sida. Mycket trafik eller?

Var väl bara en tidsfråga med den säkerheten

Bra jobbat

Webserver Stress Tool

Duger nog nu när skiten redan är så pass slö!

Ni DDoSar ju sönder skiten så pass mycket så man inte ens har möjlighet att kolla på säkerheten på riktigt sätt heller

Eller hur.

Om alla jävla skitungar kan sluta att dosa skiten snart så kanske vi kan få ut lite mer info från sidan.
Helt omöjligt att göra nått när den slutar svara stup i kvarten. Kan ju hoppas att alla barn går och lägger sig snart så kanske man hinner göra något under natten.