Comments 25
А как в итоге FB отблагодарил Orange Tsai?
+1
В России бы пришлось доказывать, что бекдора залил не он. А благодарностью стал бы тюремный срок)))
+20
Как страшно жить…
0
Приходит бабка к врачу, а врач тоже бабка (с)
+26
UFO just landed and posted this here
Потому что там запущен веб-интерфейс, написанный на php
+2
UFO just landed and posted this here
Это конечно. Но я думал, что ваш вопрос в целом про то, почему на этом сервере выполняется php. Я их не оправдываю )
0
В основном массу внимания в плане ИБ уделяют серверам, нацеленным на пользователей, а внутренние почти всегда сервисы живут своей жизнью, серьюрити там по минимуму.
Поэтому ресерчеры и нацеливаются на поиск всяких отладочных, девелоперских или внутренних машин, т.к. там в плане безопасности все очень плохо, что для ресерчера — очень хорошо.
Поэтому ресерчеры и нацеливаются на поиск всяких отладочных, девелоперских или внутренних машин, т.к. там в плане безопасности все очень плохо, что для ресерчера — очень хорошо.
+4
Видимо девелоп просмотрел.
Интересный вопрос, однако. Всё равно что спросить: почему в фб уязвимости?
Инфраструктура очень большая, сложная. В принципе, на то и есть баг баунти.
Интересный вопрос, однако. Всё равно что спросить: почему в фб уязвимости?
Инфраструктура очень большая, сложная. В принципе, на то и есть баг баунти.
0
что мешает в настройках nginx'а проксировать только конкретные точки входа и отдавать 403 на все остальное?
+1
Всегда искренне восхищался такими людьми, которые могут видеть уязвимости и при этом не использовать это во вред простым смертным
+2
Исследователь по безопасности Orange Tsai взломал один из серверов Facebook и обнаружил бэкдор для сбора учетных записей сотрудников компании, оставленный злоумышленником.
Исследователь по безопасности Orange Tsai взломал один из серверов Facebook и обнаружил бэкдор для сбора учетных записей сотрудников компании, оставленный предыдущим исследователем по безопасности.
+3
Исследователь бы сообщил в Facebook и не стал бы оставлять файлы, логгировать и складировать данные.
0
Этим и отличается «Исследователь» от «Злоумышленника»
-1
Подскажите, а что за расширение браузера видно на скринах?
Похоже, кроме отправки HTTP-запросов оно ещё много чего умеет.
Похоже, кроме отправки HTTP-запросов оно ещё много чего умеет.
0
Sign up to leave a comment.
Как я взломал Facebook и обнаружил чужой бэкдор