Comments 18
Даже веб ресурсы?
эта история хорошая иллюстрация к бюрократизму корпораций в РФ.
Мда… надеюсь с выходом этой публикации квалификацию/зарплату конкретных HR-ов пересмотрят.
В 2019 году держать логи и конфиги /public...
Почему «даже»? Я давно подметил корреляцию, что чем крупнее и известнее компания — тем паршивее у неё сайт. Исключение — IT-компании.
Вторая детская ошибка – не ограничивать белым списком перечень файлов/каталогов, которые можно выгружать с сервера.
Настоящая ошибка — держать в public_html конфиги, которые не должны быть доступны через сайт вообще никогда и никому. Тебе не придётся прятать секретные файлы в папке с сайтом, если там нет секретных файлов 
На первом скриншоте web.config был замазан PublicKeyToken из configSections.
В этом нет ничего секретного, так .NET framework решает проблему выбора DLL (заодно защита от вредоносных DLL с тем же именем). Директива указывает: загрузи не любую версию Microsoft.Practices.EnterpriseLibrary.Logging.dll, а конкретную, зареганную в GAC с указанным хешем. Все эти хеши публично известны, раскрывают они разве что конкретную версию подключенной библиотеки.
В этом нет ничего секретного, так .NET framework решает проблему выбора DLL (заодно защита от вредоносных DLL с тем же именем). Директива указывает: загрузи не любую версию Microsoft.Practices.EnterpriseLibrary.Logging.dll, а конкретную, зареганную в GAC с указанным хешем. Все эти хеши публично известны, раскрывают они разве что конкретную версию подключенной библиотеки.
Надеюсь автора статьи все таки нашли ценители опытных бойцов?
Ага, а когда оказываешься в подобной компании, и начинаешь мягко и не мягко поднимать вопросы на тему «Как вы могли такого наворотить?», «Какие нафиг бизнес задачи, тут над качеством надо работать» — тебя называют «токсичным», «мешающим работать» и увольняют.
P.S. Опережая фразу «Надо не сообщать об ошибке, а предлагать решение» — решение требует времени, а чтобы это время выбить (у нас же есть бизнес задачи горят!) надо объяснить, что в проекте куча проблем.
P.S. Опережая фразу «Надо не сообщать об ошибке, а предлагать решение» — решение требует времени, а чтобы это время выбить (у нас же есть бизнес задачи горят!) надо объяснить, что в проекте куча проблем.
тебя называют «токсичным», «мешающим работать» и увольняют.
Круговая порука в действии: если не изгнать такого «токсика» и «неадеквата», который бросает тень на процессы разработки, из компании, то может всплыть, что вместо программистов наняли кодеров (а некоторые даже не умеют умножить 10*10*10*10, чтобы получить 10000, а не «дофига, этого хватит для всего, четырехзначные коды надежные, я сказал!!!»), безопасников нет, а есть автотестеры, которые купили дополнительное ПО и читают OWASP, а деньги на зарплаты профессионалам уходят непонятным людям, которые почему-то получают х10 окладов от их навыков. Лучше изгнать «токсика», продолжить есть вкусности на корпоративных обедах и полдниках, а пользователи все сожрут, они же не умеют возмущаться из-за взломов.
Bitrix на Ubuntu — оригинально. На семействе Debian действительно нужно всё самостоятельно настраивать, в отличие от установки через bitrix-env.sh. Вот и идея для вектора атаки: выбрать через shodan веб-серверы, из них — bitrix, из них — те, что не на CentOS (nmap скан или баннер версии OpenSSH подскажут). То, что останется, может быть более дырявым, чем то, что разворачивалось оф. скриптом.
xsash, HR Вас не оценили и не стали рассматривать резюме. Возможно, Вам и не нужно работать в столь замечательных компаниях, где придеться продираться со своим «видением» проблем и натыкаться на сопротивление старших по команде и непониманием проблем с их стороны. Надеюсь, что у Вас в итоге с работой все сложилось хорошо.
Даже web ресурсы известных организаций не защищены от детских ошибокКхм. А что, этот факт для кого-то новость?
Напомню, что гугл недавно попался на том, что его разработчики считали «секретный» кодик в GET-запросе достаточной защитой для данных пользователей в гуглодоках. А, например, я уже в середине нулевых, когда делал себе сайтик на народе, слышал от старших товарищей, что «секретные URL» ни от чего не защищают.
Sign up to leave a comment.
Даже web ресурсы известных организаций не защищены от детских ошибок