olemskoi Dec 19 2017 at 09:00

Как я взломал 40 сайтов за 7 минут (перевод)

6 min

81K

Слёрм corporate blogInformation Security*

Translation

+13

Comments 8

Alexsandr_SE Dec 19 2017 at 10:07

Кто бы мне так просмотрел лазейки в сеть :)

Dreyk Dec 19 2017 at 11:37

перевод такой себе

но выход был вдоль линий

output was along the lines переводится как вывод был что-то вроде этого или вывод был примерно таким

в надежде получить корни

какие, блин, корни?

V0Vka Dec 19 2017 at 12:01

Рутовые корни, естественно!

Dreyk Dec 19 2017 at 12:06

ааа. я-то думал, что корни квадратного уравнения!

olemskoi Dec 19 2017 at 16:05

Спасибо за замечание :-)

Magikan Dec 19 2017 at 14:30

ну такое себе. по моему это нельзя назвать уязвимостью, а автора назвать кул хацкером — просто разработчик идиот и не сделал банальнейшего органичения на расширение заливаемого файла и может чутка не докрутил настройки чтобы вся «статика» отдавалась обратно как есть. тчк.

vitaly_keng Dec 19 2017 at 15:43

Взломал 40 сайтов? А по-моему, залез на какой-то ну совсем уж дырявый 1 сайт, на котором оказалось 40 сайтов.

Cheater Dec 19 2017 at 19:49

Видим, что веб-сервер запускает perl-скрипты (реально? perl?)

Поскольку бэкенд всего веб-приложения был написан в perl, я не могу предложить решения.
Решение, которое я бы предложил, было бы таким: не использовать perl в 2017 году

Лол. Не «пропатчить неограниченную загрузку», не «обновить ядро», не «урезать права доступа», не «запретить самбе смотреть во внешний мир» — нет! Во всём виноват Perl, который видите ли нельзя использовать в 2017 году!

Пациент — типичный скрипт-кидди, не способный даже сделать простейшие выводы из собственных действий по взлому.