Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 116
а Вы, простите, в тех. поддержку ВТБ написали, перед тем как здесь запостить? ответа дождались?
если нет+нет тогда нельзя так делать, о большой белый хакер.
сперва надо предупреждать, если нету реакции или закрыли дырку — тогда постить уже.
если нет+нет тогда нельзя так делать, о большой белый хакер.
сперва надо предупреждать, если нету реакции или закрыли дырку — тогда постить уже.
А я бы как автор поста поступил )
вот будете автором, тогда так и поступите.
автор этого топика сделал неправильно.
автор этого топика сделал неправильно.
где написано, что это неправильно?
Вот найдёте подобную дырку — тогда и поступите так, как считаете нужным. А автор поступил так, как он считает нужным.
Что за стереотипный подход «сперва добейся сам»?
Я был в ситуации, когда нашли дыру в моём сайте, и ей сначала воспользовались, потом сообщили «администрации проекта».
Да, было обидно — на себя, за то, что не смог защитить данные и стыдно перед пользователями сервиса.
Но такие люди, как автор поста делают хорошую работу — находят и не молчат.
Пусть учатся быстро закрывать дыры.
Тем более такие организации, как Банки, где нужно особенно тщательно блюсти репутацию.
Я был в ситуации, когда нашли дыру в моём сайте, и ей сначала воспользовались, потом сообщили «администрации проекта».
Да, было обидно — на себя, за то, что не смог защитить данные и стыдно перед пользователями сервиса.
Но такие люди, как автор поста делают хорошую работу — находят и не молчат.
Пусть учатся быстро закрывать дыры.
Тем более такие организации, как Банки, где нужно особенно тщательно блюсти репутацию.
Да как же, он запостил неумехам прямой how to как закрыть, и глядя по факту разработчики уже скопипастили решение и закрыли. Да ладно… отшлепать немного прилюдно таких монстров как ВТБ и Лебедва просто необходимо. Вот стартапчики обижать совестно, а таким надо хоть раз в год но давать публичную порку чтобы не зазнавались.
Когда у Вас будет свой сайт и его взломают и опубликуют инфу Вы по другому запоете :-)
Я вот когда-топоступил так же — написал об одном из багов в системе Приват24. К несчастью, то был мой первый топик на хабре (может и последний) и помимо многочисленных минусов пост вообще удалили. Вот так вот пиши после этого…
Люди за это деньги получают. Странно делать работу за других.
я говорю предупредить, а не исправлять. и ничего страшного в этом нету.
этот комментарий заминусуют и не обоснуют, уверен.
этот комментарий заминусуют и не обоснуют, уверен.
Да и Лебедев немало берёт к тому же…
Лебедев уже не тот!
Желтоват пост. Думаю, к утру выяснится, что сайт давно передан в поддержку, которой ВТБ занимается самостоятельно: www.artlebedev.ru/everything/support/.
Желтоват пост. Думаю, к утру выяснится, что сайт давно передан в поддержку, которой ВТБ занимается самостоятельно: www.artlebedev.ru/everything/support/.
Лебедев не палится
Артём; Сайт красивый…
Артём; Сайт красивый…
хе =)
поясню немного:
обнаружил это еще в пятницу — написал в веб-форму «Задать вопрос» им
тогда же у себя на сайте разместил
сегодня от них ничего не пришло поэтому под вечер кинул сюда
а вообще с подобных дырок до чего-то, что любой скрипт-киддис сможет эксплуатировать, далеко поэтому в данном случае имхо особо вреда нету.
поясню немного:
обнаружил это еще в пятницу — написал в веб-форму «Задать вопрос» им
тогда же у себя на сайте разместил
сегодня от них ничего не пришло поэтому под вечер кинул сюда
а вообще с подобных дырок до чего-то, что любой скрипт-киддис сможет эксплуатировать, далеко поэтому в данном случае имхо особо вреда нету.
вот это одобряю, правильно сделал, молодец.
просто в посте ты забыл про это упомянуть.
вот у тебя есть свой сайт, и на нем есть неизвестные тебе уязвимости.
некий white-hat хакер находит их.
ты хочешь чтобы он сперва тебе сообщил про багу?
или чтобы сразу всему миру начал рассказывать и показывать?
уверен, что первое. потому что никто не хочет чтобы его сайт поимели.
просто в посте ты забыл про это упомянуть.
вот у тебя есть свой сайт, и на нем есть неизвестные тебе уязвимости.
некий white-hat хакер находит их.
ты хочешь чтобы он сперва тебе сообщил про багу?
или чтобы сразу всему миру начал рассказывать и показывать?
уверен, что первое. потому что никто не хочет чтобы его сайт поимели.
просто поскольку запрос остался без ответа посчитал это несущественным моментом…
а насчет белых, серых, черных… можно долго дискутировать не тему кто есть лучше, имхо каждый останется при своем…
эра дефейсов по-моему уже прошла — сейчас из любой уязвимости постараются втихую выжать деньги — повесить свой скрипт на серве, рекламу или еще что-нить… так что имхо такое вот выкладывание общественности уже по сути проявление некой не меркантильной заботы что-ли… ;)
а насчет белых, серых, черных… можно долго дискутировать не тему кто есть лучше, имхо каждый останется при своем…
эра дефейсов по-моему уже прошла — сейчас из любой уязвимости постараются втихую выжать деньги — повесить свой скрипт на серве, рекламу или еще что-нить… так что имхо такое вот выкладывание общественности уже по сути проявление некой не меркантильной заботы что-ли… ;)
ага, а еще никто не хочет, что бы его грязное белье и черные делишки показали всем, а тут викиликс, журналюги всякие дворцы фотографируют.
вы так говорите, как будто это что-то плохое
А я считаю что подобные вещи должны освещаться.
Нет, конечно, бывают разные ситуации. Молодая контора или сервис + молодой фрилансер. Жалко ребят, можно и написать им… помочь, так сказать.
А вот когда такая пафосная «ни на чём» студия допускает за «такие деньги» такие косяки, можно и нужно отписывать. Чтоб либо губу закатали и пошли учиться, либо внимательнее работали в следующий раз.
P.S. И неговорите мне что я злой и эгоистичный завистник ;)
Нет, конечно, бывают разные ситуации. Молодая контора или сервис + молодой фрилансер. Жалко ребят, можно и написать им… помочь, так сказать.
А вот когда такая пафосная «ни на чём» студия допускает за «такие деньги» такие косяки, можно и нужно отписывать. Чтоб либо губу закатали и пошли учиться, либо внимательнее работали в следующий раз.
P.S. И неговорите мне что я злой и эгоистичный завистник ;)
Можно так делать, и нужно. Чтобы знали, суки, как за качество отвечать.
почему Вы считаете что автор должен куда-то писать перед тем как публиковать ссылки? автор никому ничего не должен. тем более необходимость писать в техподдержку сомнительна, откуда можно знать ошибочно открыт доступ к данным или это так задумано?
А никто не заметил, там когда открываешь сайт визитку в саом низу видео обращение. И вот самый первый стоп-кадр превьюшка, где этот важный дяд сидит на кресле и на заднем фоне 2 моника и ноут.
Вот на левом мониторе очень похоже, что каскадом окно ошибки показано. Так что похоже в этом банке вообще с софтом не очень хорошо :-)
Вот на левом мониторе очень похоже, что каскадом окно ошибки показано. Так что похоже в этом банке вообще с софтом не очень хорошо :-)
Основной сайт тоже изначально в студии был сделан.
Мне все-таки кажется, что выбор движка был продиктован условиями заказчика.
Мне все-таки кажется, что выбор движка был продиктован условиями заказчика.
А сайт классный.
Ну всем свойственно ошибаться, человеческий фактор. Просто тут он проявился очень сильно.
а можно насчет этого подробнее? ни разу честно говоря чтобы заказчик говорил делаем на этой CMS и только на ней — это если сайты с нуля, а не доработка того что уже сделано.
упс, промахнулся… это ответ на этот коммент
По первой ссылке куча куча поздравлений, но иногда и встречается что-то вида: «вкладчик; сосите хуй»… Интересно, это обращение ко вкладчику от ВТБ… или обращение вкладчика к ВТБ? :)
А что за циферки после 127.0.0.1?
у меня только последняя ссылка открывается, закрыли уже?
Закрыли, отклик через хабр оказался быстрее прямых обращений =)
Очень знакомый .htaccess вы привели — Drupal?
И конечно же, никто не додумался сделать копии, да?
webcache.googleusercontent.com/search?q=cache:7V_u4ZjzP6AJ:20.vtb.ru/bitrix/templates/als_vtb20/data.txt+20.vtb.ru/bitrix/templates/als_vtb20/data.txt&cd=1&hl=ru&ct=clnk&gl=ru&source=www.google.ru
Например
Например
webcache.googleusercontent.com/search?q=cache:bRfD_oDfy3sJ:20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt+20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt&cd=1&hl=ru&ct=clnk&gl=ru&source=www.google.ru
ппц код…
ппц код…
Кого-то завтра премии лишат, а то и уволят.
требую угарных комментов
Не буду пихать это в топик…
Должен сказать, сайт производит весьма сильное впечатление. Лебедев и Ко оторвались на славу.
пришел ответ от ВТБ:
Дмитрий, добрый день!
Благодарим за информацию о «дырке» на сайте 20.vtb.ru
Не ожидали мы такого низкого уровня безопасности
от такой много получающей за работу компании.
— с наилучшими пожеланиями, Василий Коцюба
Дмитрий, добрый день!
Благодарим за информацию о «дырке» на сайте 20.vtb.ru
Не ожидали мы такого низкого уровня безопасности
от такой много получающей за работу компании.
— с наилучшими пожеланиями, Василий Коцюба
Наверное, таких правдивых отзывов мы бы никогда не услышали, если бы не автор поста.
«Саша.; Уважаемое ВТБ24. У вас самый ебанутый и хуёвый сервис после Сбербанка. Одно прекращение платежей после 16:00 стоит того, чтобы с вами никогда больше не работать. Не говоря о платном всего насвете и херовым обслуживанием с очередями в ваших отделениях. Но всего краше — платное снятие денег в кассе отделения. Вы ебанаты. Это однозначно».
«Саша.; Уважаемое ВТБ24. У вас самый ебанутый и хуёвый сервис после Сбербанка. Одно прекращение платежей после 16:00 стоит того, чтобы с вами никогда больше не работать. Не говоря о платном всего насвете и херовым обслуживанием с очередями в ваших отделениях. Но всего краше — платное снятие денег в кассе отделения. Вы ебанаты. Это однозначно».
надо вывесить этот файлик в паблик, в виде доски + комменты и рейтинг))))
Справделивости ради — почти во всех банках нал через кассу платный — заградительный тариф, направляют людей в банкоматы. Хотя конечно странностей у ВТБ24 хватает, в частности единственный известный мне платный инет-банк.
Этот отзыв не единственный.
«shlang; поменьше бы таких банков, как втб, которые кидают своих вкладчиков.
Банк втб — кидала, наперсточник!;
Вкладчик украинского ВТБ; Будьте внимательны!
Банк ВТБ в Украине кинул вкладчиков, введя 27.10.10 г. задним числом 12% комиссию за пополнение депозита «Целевой» Обходите ВТБ десятой дорогой!
ВТБ — напёрсточник-кидала!;»
«shlang; поменьше бы таких банков, как втб, которые кидают своих вкладчиков.
Банк втб — кидала, наперсточник!;
Вкладчик украинского ВТБ; Будьте внимательны!
Банк ВТБ в Украине кинул вкладчиков, введя 27.10.10 г. задним числом 12% комиссию за пополнение депозита «Целевой» Обходите ВТБ десятой дорогой!
ВТБ — напёрсточник-кидала!;»
выложите копию, кто успел сохранить
Надо принт такой себе заказать в офис
?><?
?> <?
?>Все права защищены © 2010 ВТБ
<?
?>
<?
?>
<?
?>
<?
?>Сделано в Студии Артемия Лебедева<?
?><?
Шутки шутками, а в инет утекли айпишники клиентов банка.
Парни, у Битрикса в корневом .htaccess есть директива:
Options -Indexes
А в файле /bitrix/modules/.htaccess находится директива:
Deny from all
Очевидно, основной проблемой сайта является проблема некорректной настройки веб-сервера. Из-за чего и был получен листинг директории.
Options -Indexes
А в файле /bitrix/modules/.htaccess находится директива:
Deny from all
Очевидно, основной проблемой сайта является проблема некорректной настройки веб-сервера. Из-за чего и был получен листинг директории.
Nginx поставили, а то, что это не apache — забыли видимо :)
Очевидно за nginx там все-таки Apache:
20.vtb.ru/bitrix/modules/
Вот только у Apache для vhosts по умолчанию стоит AllowOverride none :) Скорее всего эта установка и была оставлена без внимания.
Но вообще за включенную Options Indexes, наверное, надо яица отрывать на production-сервере — мало ли для чего оно может быть использовано.
20.vtb.ru/bitrix/modules/
Вот только у Apache для vhosts по умолчанию стоит AllowOverride none :) Скорее всего эта установка и была оставлена без внимания.
Но вообще за включенную Options Indexes, наверное, надо яица отрывать на production-сервере — мало ли для чего оно может быть использовано.
Ну а что вы хотели от студии, у которой автоответчик на телефоне центрального офиса матерится? Если любите Лебедева, то не минусуйте, а позвоните и дослушайте до конца список прилагательных, которые зачитывает робот.
Сказал же — позвоните… Или объясните, почему такого уровня компании позволяют себе такое.
хаха позвонил +7 495 926-18-00, там Лебедев жжот на автоответчике
только почему-то без мата
только почему-то без мата
Это если в нерабочее время звонить.
Если в рабочее, то будет так: video.yandex.ru/users/o08/view/6
Если в рабочее, то будет так: video.yandex.ru/users/o08/view/6
поздравления и проклятия от клиентов ВТБ родному банку — встречаются смешные (например вариантов пешего эротического путешествия вследствии неадекватных процентов набралось аж 27 штук ;) )Причем многие писали, видимо, не про ВТБ, а про ВТБ24, не понимая, что это два разных банка.
Лебедева уволят
За те деньги, которые он берёт, можно идеально всё сделать, ВТБ в своём репертуаре, деньги на ветер. К 20 летию делать сайт поздравительный и однозначно не за маленькие деньги, лучше бы людям ставки по ипотеке и софинансированию снизил, тьфу!
>Даша; Ура, молодцы;127.0.0.1;;1287165363;;;
Ммм… сами себе положительный отзыв написали :)
Ммм… сами себе положительный отзыв написали :)
Я представляю себе комментарии на аналогичном сайте ПриватБанка… украинцы поймут.
> ХУЙ; С днюхой ёбаные пидарасы!;127.0.0.1;;1291453668;2010-12-4 12-12-48;77.243.118.136;77.243.118.136
Это были бы поздравления от самих работников банка. А о клиентах я вообще молчу.
> ХУЙ; С днюхой ёбаные пидарасы!;127.0.0.1;;1291453668;2010-12-4 12-12-48;77.243.118.136;77.243.118.136
Это были бы поздравления от самих работников банка. А о клиентах я вообще молчу.
В «ВТБ24» произошел масштабный Хабраэффект.
Я бы сказал, что это «Опять сбой»
У них был сбой еще в конце февраля неслабый — деньги за кредит не списались в свое время. Пришлось ехать, писать заявление. Отзвонились о решении проблемы только через пару недель.
Осталось смешанное впечатление
У них был сбой еще в конце февраля неслабый — деньги за кредит не списались в свое время. Пришлось ехать, писать заявление. Отзвонились о решении проблемы только через пару недель.
Осталось смешанное впечатление
шо, опять?!!!
это точно уже не я
^_^
^_^
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Файлы сайта-открытки ВТБ в открытом доступе