«Взломать» за 60 секунд или карантинное безумие

Небольшая история о неадекватном заказчике и нахождении уязвимости на сайте за 1 минуту.

image

Не ожидал, что именно эта история станет моей первой статьей на Хабре. Пишу пока горячо!

Все что Вы прочитаете далее — это не призыв к действию или попытка «кого-либо» скомпрометировать.

5 апреля 2020 г.
Увидел сообщение в linkedin: «Добрый день. Ищем разработчика для доработки проекта на yii2… тел: +79… whatsapp»

Написал в whatsapp: «День добрый. Я с linkedin, пришлите ТЗ, если есть.»
В ответ получил огромное сообщение с ссылками на сайт, доску в trello и небольшим ТЗ.

image

Изучил trello. Над проектом работали, если верить доске, как минимум 4 разработчика.

6 апреля 2020 г.

Из-за карантина, по-моему, люди начинают сходить с ума. Вот что я увидел в whatsapp когда проснулся:

image

Все вроде бы ничего, прочитал и забыл. Но что-то внутри не давало покоя, появилось ощущение незавершенности, от которого очень хотелось избавиться.

Ничего не оставалось, кроме как пробраться на проект «обидчика» и избавиться от неприятных ощущений внутри :D.

Отсчет пошел.

00:00

Открываю сайт.

Вижу форму поиска и пытаюсь проверить ранее известную мне SQL инъекцию:

' UNION SELECT
1,group_concat(username,0x7c,password),3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31
fRom user-- -

Как и предполагал — не работает, но попробовать стоило.

00:20

На сайте есть возможность зарегистрироваться двумя способами: как Юзер и как Компания.

Исходя из увиденных в trello скриншотов, решил зарегистрироваться и поработать с личным кабинетом Компании.

Заполняем поля везде, где позволит фронт строками

SELECT * FROM users;

Просто, чтобы усилить «эффект присутствия» у разработчиков, когда они заглянут в БД.

00:40

После успешной регистрации нас редиректит на страницу профиля Компании.
Открываем пункт меню «Load Documents» (очень удобно, не правда ли :D) и пытаемся загрузить php файл.

image

Сначала я загрузил adminer.php, так как он был под рукой. Файл успешно загрузился и разработчики заботливо подготовили для меня редирект на страницу с ссылкой на файл.

image

Открывался он по ссылке: /upload/certified/15861775921.php и исправно работал.

Это было начало конца!

1:00

Далее загружаем самый простой php-web-shell через ту же форму.

Для начала нужно понять, кто мы и где мы:

pwd && whoami

image

Посмотрим список файлов директории сайта:

ls /var/www/admin/data/www/директория_сайта/

image

Видим стандартную структуру фреймворка Yii2, которую мы там и ожидали.

Получаем доступы к базе данных, которые можно ввести в ранее загруженный adminer.php:

cat /var/www/admin/data/www/директория_сайта/config/db.php

image

На самом деле был удивлен, что такие уязвимости еще существуют. А уж тем более тем, что их можно найти так легко и быстро.

Кстати, это был проект одной компании из ОАЭ, которая занимается поставкой буровых и промышленных изделий для нефтяной, газовой и буровой промышленности.

Меня добавили в черный список в whatsapp после последнего сообщения и рассказать об уязвимости я не смог, поэтому оставил пасхалки на сервере для разработчиков.

Не забывайте делать проверку типов файлов на стороне сервера, да и в целом уделяйте безопасности вашего кода больше внимания!

Similar posts

Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 124

    +8
    Из-за карантина, по-моему, люди начинают сходить с ума. Вот что я увидел в whatsapp когда проснулся:
    … ас ты $онченный


    Спасибо! 15 минут не могу проржаться, истерика…
      +7
      Я после этого даже выдохнул легче — не только у меня такой народ попадается среди клиентов.
      Только, к сожалению, вирус тут не сильно влияет, так как в «мирное время» такие тоже есть. И это делает наш дорогой интернет особенно загадочным и забавным.
      +4
      Добрый ты человек
        +6
        Порог взрыва (терпения) 2.5 часа… кто меньше?)
          +6
          У меня были клиенты, у которых это было порядка 10-15 минут. И это был не чат, а обычный email.
          Видимо, если человек привык к «live chat support», то он это ждёт даже от email'ов. Просто они "different".
            0
            Email может работать с той же скоростью, что и чат, все соответствующие технологии там уже давно есть, а медленность ответов на него — это просто традиция.
            Pushы, они везде
            Скриншот почтового клиента с выделенным пунктом про немедленное уведомление при поступлении почты
              0
              Может работать, но не обязана. По стандарту письмо может идти до нескольких суток, если сервер не доступен, например. Да и уведомления на почту не всем нужны — отвлекают от дел. Есть время — посмотрел почту, ответил. Дальше занимаешься делами.
                0
                а медленность ответов на него — это просто традиция.
                Pushы, они везде
                Вовсе не обязательно. На компе, например, пушей нет. Опять же, полно почтовых серверов, не поддерживающих эту технологию. Да и pop3 пока что никто не отменял.
                  0
                  На компе, например, пушей нет.

                  А скриншот я по вашему откуда взял? Десктопный клиент на Windows 10, почта приходит мгновенно.
                    0
                    И где на скриншоте написано про пуш? imap поди используется безо всяких пушей.
                      –1
                      Я выделил если что. Если уведомление о сообщении приходит тут же, то что же это, если не пуш? Интервал проверки на скриншоте тоже кстати есть, и он далеко не на каждые 5 секунд настроен.
                        +2
                        И всё-таки это не пуш. Это имап. Имап это протокол получения писем с сервера. Когда крыжик снят, то программа-клиент подключается к серверу (раз в 10 минут в Вашем случае) и проверяет наличие новых писем: если они есть — уведомляет об этом пользователя, скачивает заголовки этих писем и отключается от сервера. Когда крыжик установлен, то программа-клиент подключается к серверу и не отключается от него — стоит в постоянном коннекте. Именно поэтому сервер имеет возможность сразу сообщить ей о новой почте.

                        Но у имапа есть определённые особенности, которые не всем по душе. Например, использование имапа предполагает хранение писем на сервере. А некоторым это не нравится — они хотят хранить письма у себя и удалять их с сервера сразу после скачивания. Мало ли кто там шарится по серверу без их ведома. Для этого вместо имапа включается протокол pop3, который уже не позволяет делать таких трюков с мгновенным получением писем. Так что это не «просто традиция» — как Вы исходно написали.
                          –4
                          Не знаю как можно пользоваться протоколом POP3 в XXI веке, когда нужно иметь связь на нескольких устройствах. С POP3 я уже разок накололся, снеся всю почту и с сервера, и клиент.
                            0
                            POP3 простой и топорный протокол и многие им пользуются. Век тут совершенно никакой роли не играет. Ну а «наколоться» можно с чем угодно — и с имапом в том числе.
                              +1
                              Вы, видимо, не понимаете, что хотя бы один клиент с POP3 на старом устрйостве, который проверяет почту раз в де и все ваши «Email может работать с той же скоростью», «медленность это просто традиция» летят к черту?
                                0
                                Простите, но в любом pop3 клиенте можно отменить удаление писем на сервере.
                                  0
                                  Так я с «а медленность ответов на него — это просто традиция.» спорил.
                        +1
                        На компе, например, пушей нет.
                        А как же MS Exchange? Я вот даже заглянул в соединения, ни одного от почтового клиента нет. И ARM-планшет на винде как-то в спящем режиме почту получает моментально.
                        +4
                        При чём тут push'и? Например, я обычно сплю но ночам. Если мне написать сообщение в 3 часа ночи, то я даже с push'ами не побегу отвечать.
                        Если Вы отвечаете даже в 3 ночи прерывая сон, то я считаю это не совсем нормальным.
                        Кроме технологий есть человеческий фактор, сон и другие дела (работа, семья, жена, огород, обед, завтрак, ужин, выходные, спорт, магазин, ресторан, свидания, секс, кекс, поездки, другая временная зона и т.п.).
                          0
                          Я лишь заметил, что можно ожидать быстрого ответа даже от Email, и что он ничем тут не отличается от мессенджеров, кроме изначально распределённой архитектуры с открытым протоколом, а не завязан на одного производителя.
                          Конечно же можно быть занятым и не отвечать, но это распространяется на все каналы связи. И конечно же никому не стоит ожидать мгновенного ответа где-бы то ни было, пока не подписан соответствующий договор.
                            +2
                            Если человеку позвонить, то он отвечает сразу и не надо ждать ответа на заданные вопросы по несколько часов.

                            Если человек висит как «online» в «live chat» поддержки, то тоже можно ожидать ответа достаточно быстро. Это так же можно считать вполне нормальным.

                            Но если писать на email и потом ожидать ответ за меньше, чем 10 минут, то я бы на это не рассчитывал. Но есть те, кто не просто рассчитывает, но и требует. А если не получает, то начинает творить разной степени глупости.
                            И push'и это никак не решают. Впрочем, как и отсутствие договоров — у некоторых клиентов свои договоры в голове, которым только они следуют.

                            У меня был забавный случай недавно когда я что-то продал на eBay, а мне покупатель из UK написала email примерно в мои 4 часа ночи (я спал, конечно) в ультимативной форме, что если она не получит ответ за полчаса, то оставит мне негативный отзыв.
                            Я не ответил за этот срок, она оставила отзыв. Сама договорилась, сама выполнила.
                              0
                              «online» в «live chat» поддержки

                              Надеюсь вы не про сайты с их вечно онлайн операторами, готовыми в любой момент записать ваш номер телефона.
                                0
                                Не знаю, это я просто предположил причину почему некоторые ждут через email мгновенного ответа. Подумал, что они привыкли к «live chat» и такого рода.
                                Обычно когда я общаюсь через «live chat», то решаю свои проблемы за несколько минут. Но такое общение есть не везде.
                                  0
                                  Вам везёт. С меня везде вымогают телефон, никого онлайн обычно нет. Поэтому я забанил все известные мне адреса этих чатов, чтобы они не выскакивали мне под руку, типа мне кто-то там пишет.
                          0
                          Только вот никто не обязан метаться по первому увидомлению отвечать. У людей работа есть, почта подождет своего часа
                        +1
                        Минут 5-10 в 2 часа ночи, почему бы и нет.
                        +11

                        Спорное решение, как по мне.

                          +6
                          По итогу я просто бесплатно сделал одну из карточек на доске в trello «Ищем и устраняем уязвимости на сайте» :D
                            +4
                            Если придираться, то сделано наполовину только.
                              +3
                              Ну так за бесплатно же, и половина работы — хорошо.
                          +13

                          272 УК РФ.

                            +5
                            Я никогда не позволял себе больше, чем нужно. Никогда не раскрывал никакой закрытой информации. И в каждой подобной ситуации пытался донести все моменты до разработчиков и руководителей проектов.
                              +7
                              Хмм. Подождите немного. Господа присяжные — прошу.
                                +17
                                Автор, не забывай, что этика и УК не всегда совместимы :)

                                С точки зрения этики — ты не сделал ничего очень плохого (хотя сам факт взлома был и это уже… гхм...).
                                С точки зрения УК за твои действия вполне можно впаять 2 года, а какой-нибудь опер получит новое звание за поимку особо опасного преступника.
                                Причём уже были прецеденты, как в РФ так и в других странах.

                                Будем считать, что ты забыл написать самое главное — то, что на самом деле это всё художественная реконструкция, данную историю ты видел где-то давно по телевизору и она тебе так понравилась, что в условиях карантина, от скуки, ты воссоздал ситуацию на собственном специально подготовленном сервере.
                                +1
                                если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

                                  +7
                                  Копирование компьютерной информации было — как минимум получен список файлов в каталоге и даже пароли доступа к БД (которые были скопированы на компьютер автора статьи как минимум для того, чтобы отобразить их на его мониторе).
                                  Следуя букве закона — да, состав преступления есть.

                                  С другой стороны — исполнитель получил от заказчика через Trello задачу на поиск и устранение уязвимостей и получение доступа было в рамках поставленной задачи :)

                                  p.s. Кстати, он там что-то про «пасхалки для программистов» писал, т.е. ещё и «модификация» имела место, а возможно и «блокирование» или «уничтожение» в случае, если с пасхалкой вылезут какие-то проблемы.
                              • UFO just landed and posted this here
                                  +3
                                  Никогда до этого момента не «агрился» на такие вещи.
                                  И я бы не назвал это «местью», тем более что по итогу я указал на эту уязвимость без ущерба проекту.
                                    +5

                                    Я поддержу предыдущего оратора. Есть разработчики с которыми Вы общались. И которые так же адекватны как и все мы разработчики. Есть владельцы бизнеса, которые ни сном ни духом не ведают с какими хамами они работают. И есть уже совсем не при чем клиенты бизнеса которые пользуются сайтом. Так кто и за что был наказан? Я понимаю, что недовольные клиенты личные данные которых попадут в сеть, и у которых от этого распадется семья, кинут родителей на бабки, возьмут в заложники детей, разорятся и уйдут из бизнеса. Бизнес следом разорится и не сможет платить разработчикам-хамам. И разработчики-хамы потеряют одного из 100500 своих клиентов и тоже потеряют 0,5% дохода. То есть порок будет наказан. Но как-то неубедительно наказан.


                                    Ну а статья — в большинстве стран есть просто статья что-то типа "вмешательство в работу электронных систем". И сильно с этим шутить лучше не шутить.

                                      +5
                                      Никто не был наказал, Вы слишком раздуваете ситуацию.
                                      Никто, абсолютно никто не пострадал, за исключением, возможно, одного из разработчиков, который увидел текстовый файл в корне сайта, с описанием уязвимости и рекомендациями изменить доступы к проекту и испытал небольшой дискомфорт от увиденного.
                                        0

                                        УК совершенно однозначно говорит о неправомерном доступе к компьютерной информации.
                                        До момента, пока вы не выполнили pwd && whoami статью 272 УК РФ вы не нарушали.


                                        Я попадал в ситуацию, когда взломщик оставлял файл с сообщением в корне, помню, что стало действительно не по себе. В моем случае была ошибка конфигурации.

                                        –1
                                        > в большинстве стран есть просто статья что-то типа «вмешательство в работу электронных систем». И сильно с этим шутить лучше не шутить.

                                        Не советую тогда пользоваться какими либо сайтами, ибо вы «вмешиваетесь в работу электронных систем» и даже (О МОЙ БОГ) изменяете в этих системах какие то данные.
                                          0
                                          Как-то описанная вами цепочка пострадавших от борьбы с разработчиками-хамами уж больно напоминает мировую борьбу с COVID-19, который от этой борьбы может и пострадает на 1%, но ни бизнеса ни клиентов уже ни у кого не останется
                                        • UFO just landed and posted this here
                                            +4
                                            «Весь мир будет против меня — я прав» (с. Кама Пуля).
                                            Обещаю немного возместить Ваши потери, как только хабр даст мне такую возможность.
                                              0
                                              Никто не любит напыщенное моралофажество. Ломать сайт — можно, если у вас цель, как у автора поста. И если вас назвали пидарасом. А если так любите терпеть, потерпите и слив кармы.
                                              • UFO just landed and posted this here
                                                  +1
                                                  Ага. Можно попытаться привлечь по ст. 5.61 КоАП РФ за оскорбление чести и достоинства с взысканием штрафа, например =) Если бы законы работали, и это не было бы настолько геморройно =)
                                                  +4
                                                  Ломать сайт — можно, если у вас цель, как у автора поста. И если вас назвали пидарасом.


                                                  Мало ли какие проблемы у людей.

                                                  Может у того, кто вас оскорбил, жена изменила, мать умерла, дитятко в уголовку вляпалось, партнер по бизнесу кинул или спазм желудочный какой-нибудь со страшными болями. И поэтому у него нервы на взводе.

                                                  Ну и назвали бы его в ответ тоже «козёл» в глаза (а не в тайне, как сделал автор статьи) и дверью хлопнули, делов-то…

                                                  Описанная вами ситуация, ровно как и описанная у автора статьи — это явный не профессионализм. Не с технической непрофессионализм (тут как раз все нормально), а непрофессионализм с этической точки зрения.

                                                  Понимаете ли в чем дело, наш мир держится в том числе и на доверии.
                                                  Мы доверяем свою жизнь и здоровье — очень многим окружающим людям.

                                                  Представьте, что было бы если бы официант слабительное вам подсыпал просто потому что вы на него недостаточно вежливо посмотрели.

                                                  А хирург дозу обезболивающего снизил бы только потому что ему не понравился ваш тон в разговоре. Или того хуже: можно так анестезию дать, что человек не сможет пошевелиться при операции, но будет всё чувствовать — и ведь ничего потом не докажешь.

                                                  Скажи прямо, что ты не будешь его обслуживать. Скажи ему в ответ на его оскорбления прямо и честно в открытую, что он тоже говно. Наори.

                                                  Но делать подлянку изподтишка, в тайне, используя свои профессиональные возможности — это ты сволочь, значит. И ничего тут нет, чем стоило бы гордиться.

                                                  Использовать возможности, данные вам для выполнения профессиональных обязанностей, для того, чтобы сделать плохо человеку, что обратился к вам за вашими услугами — это непрофессионально.

                                                  P.S.:
                                                  Кстати, репутация = деньги.

                                                  Иметь дело с человеком, который гадит клиенту — никто не будет. Если потенциальный заказчик это узнает, конечно.

                                                  И никто из потенциальных заказчиков не будет разбираться кто прав и кто виноват был в конфликтной ситуации.

                                                  • UFO just landed and posted this here
                                                      +1
                                                      Окей, по порядку:

                                                      Может у того, кто вас оскорбил, жена изменила, мать умерла, дитятко в уголовку вляпалось, партнер по бизнесу кинул или спазм желудочный какой-нибудь со страшными болями. И поэтому у него нервы на взводе.


                                                      Как выяснилось такие сообщения получил не один я и у меня есть реальные скриншоты от других разработчиков, после написания это статьи.
                                                      Да и в целом, в корне не согласен с тем, что можно оправдывать такое поведение человека (любого), если у него начались спазмы в желудке.

                                                      Ну и назвали бы его в ответ тоже «козёл» в глаза (а не в тайне, как сделал автор статьи) и дверью хлопнули, делов-то…


                                                      Возможно, для Вас является нормой хлопать дверьми и платить людям их же монетой, для меня нет.
                                                      Ответил я ему очень даже позитивно, без грубых выражений и пожелал успехов в работе. Но к этому времени я уже был в ЧС.

                                                      Но делать подлянку изподтишка, в тайне, используя свои профессиональные возможности — это ты сволочь, значит.


                                                      Интересная такая тайна, выствленная на всеобщее обозрение на хабре.

                                                      Использовать возможности, данные вам для выполнения профессиональных обязанностей, для того, чтобы сделать плохо человеку, что обратился к вам за вашими услугами — это непрофессионально.


                                                      Это максимум отчасти неэтично, с точки зрения изначальной моей реакции.
                                                      Непрофессионально — это нарушить работу сайта, из — за чего могут пострадать другие люди, использовать его для арбитража, продать данные на черном рынке и т.д.

                                                      Кстати, репутация = деньги.


                                                      Репутация = один из способов подобраться к умению зарабатывать деньги.
                                                      Умение зарабатывать деньги = деньги.
                                                      Вы слишком однозначны и односложны в своих высказываниях.

                                                      Иметь дело с человеком, который гадит клиенту — никто не будет


                                                      Полностью согласен. Хорошо, что я никому не нагадил.
                                                        0
                                                        Как выяснилось такие сообщения получил не один я и у меня есть реальные скриншоты от других разработчиков, после написания это статьи.
                                                        Да и в целом, в корне не согласен с тем, что можно оправдывать такое поведение человека (любого), если у него начались спазмы в желудке.

                                                        Вам просто указали, что у вас фундаментальная ошибка атрибуции.
                                                          0
                                                          Возможно, для Вас является нормой хлопать дверьми и платить людям их же монетой, для меня нет.

                                                          Поэтому хакайте? Это типа благородно?

                                                          Нет, напротив.
                                                          Вы не играете на поле вашего недруга, используете то место, где он ничего не понимает, то место, которое он нанял вас улучшать.
                                                          Это вероломно и подло.

                                                          Да и в целом, в корне не согласен с тем, что можно оправдывать такое поведение человека (любого), если у него начались спазмы в желудке.


                                                          Кто говорит об оправдании?
                                                          Ответьте аналогично. Матом, например.

                                                          Но использовать служебное положение для ответа на ругань — это свинство.

                                                          Интересная такая тайна, выствленная на всеобщее обозрение на хабре.


                                                          Речь не о последующей публикации (он вряд ли прочитает статью, кстати), а о самом поступке.

                                                          Сам поступок совершен в тайне. С использованием доступов, которые вы узнали по работе своей.
                                                          А не в глаза высказали, что думали о нём.

                                                            0
                                                            Ответьте аналогично. Матом, например.

                                                            Вот это поворот. А если кошелек украдут — вы предлагаете в ответ тоже кошелек украсть?


                                                            Это вероломно и подло.

                                                            Ох, уж эти моралисты. Во-первых, вас третейским судьей никто не нанимал. Вы считаете, что это вероломно и подло — не делайте так сами. Это максимум, который человеку дозволен в приличном обществе. Поучать других — удел шлюх в отставке и завязавших алкоголиков.


                                                            Во-вторых, тот, кто первым наносит запрещенный удар в боях без правил — традиционно открывает портал в ад. К этому (а также к тому, что набьют морду, обработают бейсбольной битой новую машину, законопатят в бетон, наконец) — надо быть готовым, когда пишешь «просто слова» незнакомому человеку. Иначе — получаем то, что имеем.


                                                            Так что вне зависимости от качества поступка (я бы лично ничего ломать не стал, например), автор совершенно в своем праве, а вам я с удовольствием в глаза говорю: засуньте себе свое морализаторство куда-нибудь, куда оно поместится.

                                                              –2
                                                              Ответьте аналогично. Матом, например.


                                                              Вот это поворот. А если кошелек украдут — вы предлагаете в ответ тоже кошелек украсть?


                                                              А не «если».
                                                              Мы говорим о вполне конкретной ситуации, описанной в статье.

                                                              P.S.:
                                                              По поводу кошелька — есть уголовный кодекс и специальная система наказаний.

                                                              Кстати, за кражу можете с вора высудить «за моральный и материальный ущерб». Это фактически и будет «украсть кошелек в ответ». Только законно.

                                                              Так что вне зависимости от качества поступка (я бы лично ничего ломать не стал, например), автор совершенно в своем праве, а вам я с удовольствием в глаза говорю: засуньте себе свое морализаторство куда-нибудь, куда оно поместится.


                                                              Вам показалось про мораль.
                                                              Я вполне себе поддерживаю аморальные поступки в быту. Таковы люди. И это нормально.

                                                              Ну да, по мелочи нас надувают в неизвестной нам профессиональной сфере постоянно:

                                                              Строители завышают стоимость отделки помещения. Программисты завышают сроки работ и полсрока занимаются совсем другими работами (хотя есть и обратная проблема, когда занижают и срывают сроки).

                                                              Но у нас вполне конкретная ситуация. И она — дикая:

                                                              Человека наняли.
                                                              Он обиделся.
                                                              И используя служебное положение — начал гадить.

                                                              Речь только об этом.

                                                              А это уже не мораль, это уже уголовный кодекс.

                                                              Если отвлечься от того, что написано в законах, все равно такая модель поведения — табу. Так нельзя делать. Мы априори доверяем профи. На этом построена вся нынешняя цивилизация узкой специализации.

                                                              Иначе вам всегда придется быть более чем начеку:

                                                              Дадите в ресторане мятую денежку в оплату, а обиженный официант подсыпит слабительное.

                                                              Загляните в кабинет врача без очереди, где он полчаса треплется с коллегой, сделаете ему замечание, а врач «забудет» дать обезболивающее перед операцией.

                                                              Водитель автобуса подедет в момент, когда вы одну ногу на мостовую выставили, а вторая еще в автобусе, он «не заметит», что вы еще не вышли — просто потому что вы по ошибке дали ему на рубль меньше за проезд.

                                                              Да, он правильно обиделся. Да, было за что.

                                                              Но такая реакция на обиду — это не нормально. Если дозволено ему, то ведь и всем прочим, кто ему оказывает услуги — это тоже дозволено, да?

                                                              Представьте, если ему все будут отвечать так, как сделал он — используя профессиональное положение — за небольшой всплекс эмоций он получит диарею, болевой шок и переломанные ноги.

                                                              Люди давно уже не убивают за то, что косо на них посмотрели. Это было в истории человечества. Но было очень и очень давно.

                                                              Не приятен тебе человек — просто не оказывай ему профессиональные услуги.

                                                              Но «оказывать профессиональные услуги со знаком минус» — это деструктивно для общества. Впрочем, уголовный кодекс на это есть. Вы не можете заниматься самосудом, вы не можете получить послабление, если заявите суду, что «сделали это в ответ на действия потерпевшего, который ранее вас обидел».

                                                              Если мне кто-то из потенциальных сотрудников ляпнет о подобной «геройской» мести, как это сделал автор статьи — никогда не будет работать ни у меня, ни у коллег.

                                                              От таких обидчивых, что гадят изподтишка, да еще используя выданные ему служебные доступы — нужно держаться максимально далеко.

                                                              Тут можно было бы понять, если бы его кинули на серьезные деньги.
                                                              Но ему что то не то ляпнули словесно — и он уже настолько серьезно озаботился местью? Нафиг, нафиг, подальше от такого нервного нужно быть…

                                                              В этом смысле меня приятно порожает насколько стабильно относятся друг к другу люди в перенаселенной Индии. Как! Они умудряются быть такими спокойными когда тебе постоянно кто-то мешает, практически наступает на ногу, так как их очень много. Полагаю, боятся карму себе подгадить и родиться баобабом в следующей жизни.

                                                              Тут же почему-то «красиво отомстить» — это геройство.
                                                              Имхо, геройство — это прямо в глаза плюнуть.

                                                              Заглаза же нагадить в тайне — это совсем противоположенным словом называется.

                                                              А уж используя при этом служебное положение — даже и уголовно наказуемо.

                                                              И тут всё неважно, что изначально неправ заказчик (впрочем, мы имеем дело только с однобоким изложением ситуации, взгляд только с одной стороны, так что я бы не был столь уверен.

                                                              А мир, где когда на тебя заматерились, а ты — раз и мечом обидчику голову с плеч — есть только в книжках.
                                                                +1
                                                                Вы живёте в мире розовых пони. Попробуйте обматерить какого-нибудь крепкого парня на улице: будьте уверены, что в суд он не побежит и плакать не будет. В самом лучшем случае — если сильно повезёт — Вы получите в ответ матерную тираду, как и предлагаете поступать. А наиболее вероятное развите событий — он совершенно молча нанесёт Вам сокрушительный удар в челюсть. Это, конечно, не голова с плеч — но мало тоже не покажется. Выбитые зубы, сотрясение мозга — гарантированно. Такова реальная жизнь, как бы Вам не хотелось обратного. И что самое интересное — в реальности именно боязнь получить в морду останавливает очень многих людей от проявления подобных эмоций в отношении других. А в интернете уже не так страшно: можно и обматерить — ведь в морду то не дадут. Да и в милицию не побегут — кто захочет так геморроиться? Автор, по сути, преподал матершиннику урок — что не стоит себя так вести даже в интернете.
                                                                • UFO just landed and posted this here
                                                                    0
                                                                    Вы живёте в мире розовых пони. Попробуйте обматерить какого-нибудь крепкого парня на улице: будьте уверены, что в суд он не побежит и плакать не будет


                                                                    Мы говорим о вполне конкретной ситуации.
                                                                    Никакой улицы и никакого крепкого парня в обсуждаемой теме нет.

                                                                    Статью прочитали же? Речь об этой ситации.

                                                                    Или Вы предлагаете, что следует, когда «тот крепкий парень» придет к вам в зубоврачебный кабинет — побольнее ему посверлить?

                                                                      +2
                                                                      Статью прочитал очень внимательно. Никакого зубоврачебного кабинета в обсуждаемой теме нет. Как, впрочем, и обиженного официанта и врача, не давшего обезболивающее, и водителя и всех прочих, которых Вы приплели. Как видите — я могу в эту игру играть ничуть не хуже Вас. Зато есть хам и есть человек, щёлкнувший его по носу. Взломом это деяние у меня язык не поворачивается назвать. Не даром автор взял это слово в заголовке в кавычки.
                                                                        –1
                                                                        Зато есть хам и есть человек, щёлкнувший его по носу.


                                                                        Да там как раз всё понятно.

                                                                        «Заказчик» постоянно имеет дело с неумехами, которые его кидают, когда понимают, что дело им не по плечу; или с неумехами, которые делают говно, что мы и наблюдаем судя по инъекции.

                                                                        Нервы «заказачика» на пределе.

                                                                        Поэтому человек, взявший слишком большую паузу «на подумать» и даже не сообщивший об том, что он обдумывает (а среди ИТ-шников распространено ничего не сообщать заказчику, пока исполнителю самому не будет понятно, пока исполнитель не поймет что да как — ибо иначе и стоимость нельзя озвучать) — был принят как очередной любитель халявы, ничего не умеющий школьник/студент просто отнимающий время.

                                                                        Это конечно не оправдывает поведение «заказчика».

                                                                        Но все же хамом его сделали наши начинающие коллеги-обещалкины.

                                                                        Во избежание подобных ситуаций, в которую влип автор статьи — можно просто заломить за свои услуги много. Чтобы заказчик понял, что исполнитель существенно отличается от тех копеечных горе-специалистов. И тогда заказчик или наймёт за хорошие деньги, или откажется и не будет тратить время специалиста и свое время.

                                                                        А то, что сделал автор — непродуктивно.

                                                                        И заказчику не помог.
                                                                        И свое время потратил.

                                                                        Цените и свое время и время тех, кто вам платит.
                                                                          +1
                                                                          Вы с такой уверенностью говорите, как будто лично знакомы с этим хамом. Откуда Вам знать кто и как его сделал хамом? Может он хамом был с самого малолетства? А то, что сделал автор — вполне себе продуктивно: и хаму напомнил о правилах приличия и времени своего на это особо не потратил. Вот если бы он через милицию с судами и адвокатами заход сделал — тогда бы да, можно было бы говорить, что потратил и очень много. И не только времени.
                                                                            0
                                                                            Слова – не оправдания для совершения преступлений. Если у кого-то из за каких-то слов или названий появляется желание драться – это говорит только о их собственной не целостности и незрелости. Если бы автор в ответ проматерился или кинул человека в блок или написал в блоге, что есть такой заказчик и у него такие-то проблемы с головой… Тогда претензий нет. А так — совершено преступление причем без мотива. Если бы его кинули на деньги – понимаю. Как плаксивая девка идти и ломать то что сам не строил – нужно особенным человеком быть. Есть у меня такие предположения, без осуждения.
                                                                              0
                                                                              Я не силён в юриспруденции. Не могли бы Вы уточнить — каким образом деяние автора подпадает под определение «совершено преступление»? Только без общих фраз, пожалуйста. Побольше конкретики. Желательно с цитатами из статьи автора и выдержками из статей УК.
                                                                                0
                                                                                Выше неоднократно затрагивалась эта тема
                                                                                УК совершенно однозначно говорит о неправомерном доступе к компьютерной информации.
                                                                                До момента, пока вы не выполнили pwd && whoami статью 272 УК РФ вы не нарушали.
                                                                                  0
                                                                                  Ну понятно. Выше некто что-то там утверждал. То есть Вы тоже не сильны в юриспруденции — как и я. Но, несмотря на это, с лёгкостью вешаете на человека табличку с надписью «Он совершил преступление». Вопросов больше не имею.
                                                                                    –1
                                                                                    Я не стремлюсь прослыть великим юристом, а просто пытаюсь описать то — что наблюдаю, констатирую факт того, что произошло. Не затрагиваю сторону морали и не пытаюсь «клеить ярлыки». Как со стороны пенетратора систем так и со стороны порядочного пользователя — в случае если кто-то из них профессионал в своем деле, уверен они оба хотят знать что есть такой закон. И далее оба из них «возьмут его на карандаш».

                                                                                    Основное что я хотел сказать: «Слова — не оправдание для того, чтобы браться за нож или отвечать более „заметным“ правонарушением чем оскорбления, по крайней мере если уж и „идете на дело“ то хотя бы не заливайте на всеобщее обозрение под своей фотографией… Конечно иногда мы пробуем что-то новое и у нас получается, мы все хотим поделиться этим с миром, но не всегда это желание оправдано. Ведь этот человек может оказаться „поехавшим“ и через пару дней вы окажетесь в лесу где вам вашу моралисткую позицию засунут туда, где вы задумаетесь: может я что-то в жизни делаю не так?
                                                                    +3
                                                                    Человека наняли.

                                                                    Не нанимали, просто скинули информацию для ознакомления, а я сказал, что посмотрю. На этом все.
                                                                    Как выяснилось — он скидывал её всем подряд без разбора. В итоге его заблокировали на linkedin за рассылку спама, полагаю.

                                                                    И используя служебное положение — начал гадить.

                                                                    До сих пор не объяснили мне где же я нагадил.

                                                                    оказывать профессиональные услуги со знаком минус

                                                                    Я не оказал ему никаких своих услуг, кроме тех, что описаны в статье.
                                                                    И да, у меня были клиенты намного грубее и вспыльчивее, но с ними все ограничивалось добавлением в ЧС. Здесь просто как — то вышло само собой)

                                                                    И дело не в самом человеке или в том, что он мне написал. У меня всегда был «спортивный интерес» к выявлению уязвимостей, который всегда заканчивался словом «спасибо», а иногда даже денежной премией от владельцев проектов.

                                                                    используя выданные ему служебные доступы

                                                                    Это какие? Все что у меня было — это доска в трелло. Доступов там не было.

                                                                    Тут же почему-то «красиво отомстить» — это геройство

                                                                    Вам нужно уточнить значение понятия «месть». Да, я делал все не из благородных побуждений, но и вредить никому не собирался.

                                                                    взгляд только с одной стороны

                                                                    Есть как минимум 2 человека, которые написали мне после этой статьи и предоставили скриншоты переписки с этим человеком. В этих переписках он занимался «непотребствами» с мамами разработчиков.
                                                                      +2
                                                                      Человека наняли.
                                                                      Он обиделся.
                                                                      И используя служебное положение — начал гадить.

                                                                      Какая ерунда.
                                                                      Во-первых, не наняли, а хотели нанять. Наняли — если деньги заплатили.
                                                                      Во-вторых, про «обиделся» — вы не знаете и не можете знать, что именно ощущал автор, так что подобное утверждение — это и аргумент ad hominem и подмена тезиса в одном. Еще это называют иногда аргументом «чтения мыслей», когда оппонент говорит так, будто лучше знает, кто что думал и чувствовал.
                                                                      В-третьих, «злоупотребление служебным положением» — это вообще про должностных лиц, а не про то, про что вы говорите. (А автор даже не был нанят.) Но это все не имеет значения, потому что никакие «доступы» ему не стали известны благодаря доверию клиента, сайт был взломан, согласно описанию в статье, исключительно с нуля.

                                                                      Так что вы прежде чем заниматься морализаторством, сначала бы хоть ознакомились с сутью дела, и не придумывали бы ничего для подтверждения своей точки зрения.
                                                        +5
                                                        Когда делаешь что то недекватное/злое, нужно быть готовым к ответной реакции. В данной ситуации человек оскорбил и заблокировал автора, что бы не получить ответной реакции, но автор оказался проверней и ответил другим путём. Будь автор более злопамятней, мог наказать и более «неадекватно».
                                                        +20
                                                        Это не карантинное. Они в таком стиле общение с разработчиками ведут больше полугода, а может и больше.

                                                        В начале статьи показалось что-то знакомое. Подумалось что где-то встреччался с таким стилем. После упоминания ОАЭ и буровых паззл сложился.

                                                        Писали мне еще кажется в прошлом году. В таком же стиле: вот ТЗ, вот Trello, когда будет готово?
                                                          +5
                                                          Человек провёл бесплатно исследование уязвимости на сайте в нашем с вами вебе и, не имея возможности сообщить хозяину, опубликовал технические подробности уязвимостей, не публикуя конкретику.
                                                          3/6 корневых коментаторов не одобряют этого. Что вы хотите? Чтобы интернет содержал такие ошибки дальше? Чтобы люди не занимались анализом уязвимостей? Чтобы не делились информацией на профильном ресурсе? Почему неодобрение?
                                                            +3
                                                            Предполагаю, что дело в не совсем корректной подаче самой статьи. Некоторые могут увидеть здесь акцент не на конец самой статьи, а на начало)
                                                            Первая статья, первый фидбек, первые минусы :D
                                                              0

                                                              Может быть из-за праведного гнева воображение слишком разыгралось, когда вы туманно упомянули некие пасхалки для разработчиков.

                                                                0

                                                                Там всего лишь один текстовый файл с описанием уязвимости в двух предложениях.

                                                                +3
                                                                Шикарная и очень даже «корректная» подача статьи. Спасибо. А к «некоторым» возможно стоит относиться с таким же пренебрежением, с которым они относятся к подобным статьям. А ведь это одна из теперь уже редких и действительно полезных статей.
                                                              • UFO just landed and posted this here
                                                                  +5
                                                                  Во первых автрор хотел сатисфакции, и не забота о других и не благородный перфекционизм руководил им.
                                                                  «Я пришел воздать вам не за надежды. Я пришел воздать за дела.» © V for Vendetta.

                                                                  Важен результат, а не намерения, мне кажется. А результат, как раз, получился вполне положительным — уязвимому сервису было конфиденциально сообщено о наличии уязвимости.

                                                                    +2
                                                                    Все же немного посложнее теперь устроено чем во времена чистого html первой версии. Контора же не свою квартиру оставила открытой, а считай свой офис с заводом, с документами своих клиентов, с автопарком, с телефонными линиями и с вычислительной мощностью и т.д., в общем вполне себе создала возможности для организации на своей площадке общественно-опасного притона. За подобное то в реале контору прикроют со штрафами и сроками.
                                                                      +1

                                                                      Ещё и не свою, а арендованную в одном комплексе с другими конторами. С общим водопроводом, электричеством и проходной.

                                                                        +2

                                                                        Вспомнилось https://xakep.ru/2006/12/16/35784/

                                                                        • UFO just landed and posted this here
                                                                      +8

                                                                      Я хочу, что бы человек
                                                                      а) запросил у меня необходимость пентеста, если мой проект не выложен на соответствующий баг хантинг
                                                                      б) не лез, если я отказал
                                                                      в) оформил уязвимость в виде репорта, не вздумав оформлять пасхалки, сообщив все данные, которые он случайно раскрыл и мог случайно изменить
                                                                      г) запросил разрешение опубликовать уязвимость публично даже после ее закрытия
                                                                      Т.е. поступил как профессионал.

                                                                        +1
                                                                        Тоже не идеально.
                                                                        а. Бывает, что случайно натыкаешься на какие-то уязвимости. Запрашивать разрешение пост-фактум будет непрофессионально.
                                                                        б. Если отказано, то потом найдут это те, кто не спрашивают «by design». И это будут профессионалы, но в другой области.
                                                                        в. Как я понял, в этой статье владелец закрыл способы общения. Кстати, это случается достаточно часто.
                                                                          +2

                                                                          а) Если увидел уязвимость случайно… ну, например, случайно опечатался при вводе логина и вместо vasya написал <script>alert("vasya");</script>, то, конечно, бывает. Вот только любая последующая попытка раскопать неожиданное поведение на случайность не тянет.
                                                                          б) Это дело владельца ресурса, не правда ли? С чего вы взяли на себя право решать за него. Случаи, что бы тебя послали, но при этом это какой-то социально важный сервис, за который вы переживаете, конечно могут быть. Но это будет именно что исключение, которое, как известно, подтверждает наличие правила.
                                                                          в) Его забанили в watsup, но что мешало написать в тот же linkedin с которого все началось? Или поискать людей на других ресурсах, написать на какие-то публичные емейлы найденные. Было бы желание. А в данном случае было желание покрасоваться и похвастаться. Увы. Понять я автора могу, одобрить — нет. Это мое мнение, конечно.

                                                                            +5
                                                                            а. Помню был забавный случай давно-давно. На сайте было написано, что нельзя использовать знаки "$" и "-" в пароле. Было интересно и я попробовал. Грохнул то ли сайт, то ли базу, но потом всё перестало работать. Теперь в тюрьму?

                                                                            б. Я не могу решать за других, конечно. Речь не про это. Например, если чей-то ресурс начинает бомбить мои ресурсы из-за наплевательского отношения хозяина, то это становиться и моей проблемой.
                                                                            Мне приходилось «вламываться» на другие сервера используя уязвимости, через которые их взломали изначально и патчить их. Это без ведома владельца. Удачи найти меня с УК РФ наперевес.

                                                                            в. Что-то мне подсказывает, что его там проигнорируют. Конечно, это не статистика, а всего лишь мой личный опыт.

                                                                            Я не защищаю автора, а намекаю, что не всё так просто бело-черно.
                                                                              0
                                                                              Мне приходилось «вламываться» на другие сервера используя уязвимости, через которые их взломали изначально и патчить их. Это без ведома владельца. Удачи найти меня с УК РФ наперевес.


                                                                              Вы путаете и мешаете в кучу:

                                                                              а) Этику
                                                                              б) Уголовное право
                                                                              в) Подростковый максимализм
                                                                              г) «Неуловимого Джо»

                                                                              И только из-за этого считаете себя героем?
                                                                                +2
                                                                                Я не считаю себя героем, я просто принимал меры. Чисто шкурный интерес и ничего более.
                                                                                По поводу путаницы — это запросто, я в этом плохо разбираюсь.
                                                                          +2
                                                                          Я хочу, что бы:
                                                                          а) прекратился адский телефонный спам, который де факто свел на нет мобильное телефонное общение, существовавшее пару десятков лет.
                                                                          б) прекратился адский почтовый спам, который свел на нет почтовое общение
                                                                          в) прекратились утечки финансовой информации, которые использование электронных денег превратили в сеансы паранойи.

                                                                          А для этого было бы неплохо, что бы перед тем, как публиковать страницу, после каждого серьезного изменения и раз в квартал по дефолту страницы проходили технический анализ на предмет отсутствия уязвимостей, так же, как это делают все организации с бух, фин отчетностью, некоторые так и обязаны проходить аудиторские проверки.

                                                                          И то, что эта вековая практика существующая везде в реальности не дошла еще до интернета, это по историческим меркам только миг в развитии интернета, который очень скоро и навсегда пройдет. Вероятно еще при нашей рабочей жизни.
                                                                        +6
                                                                        Я поддержу автора)
                                                                        В последнее время на хабре такие статьи в топе, не понимаю хейт некоторых. Ущерба сайту никакого, никакой корпоративной тайны не раскрыто, личных данных нет, всё чувствительное замазано.
                                                                        Для первой статьи совсем неплохо, продолжай в том же духе…
                                                                          0
                                                                          Восхитительно.
                                                                            +1
                                                                            ничего так себе история, и сообщений между 5м 6м никаких не было? Если так… прям таки душевные люди на эту компанию работают.
                                                                              0
                                                                              Не было)
                                                                              По поводу душевных людей — забыл сказать, что на linkedin у него в этой компании должность «Упарвляющий директор» )
                                                                                +5
                                                                                «Управляющий директор»

                                                                                Что-то Масяня с её легендарным «Алле? Хто это? Директор? Да пошел ты в жопу, директор, не до тебя сейчас», сразу на ум пришла.
                                                                                Теперь я знаю, что буду смотреть сегодня вечером :)).
                                                                                И, кстати, свежий эпизод на злобу дня просто великолепен!

                                                                                  +2
                                                                                  Масяня до сих пор выходит О_О?
                                                                                  Я думал этот мульт умер еще лет так 15 назад
                                                                                    +1
                                                                                    Ну как видите ¯\_(ツ)_/¯.
                                                                                    И местами вполне годные эпизоды встречаются.
                                                                              +1
                                                                              В наше время как можно разрешать выполнение скриптов в папках для загрузки?! Детский сад какой-то.
                                                                                0
                                                                                Вы будете сильно удивлены, но так сложилось, что для запуска php-скрипта не требуются права на его запуск :) Достаточно права на чтение.
                                                                                  0
                                                                                  Всего лишь нужно продолбать location ~ /upload(.+)\.php$ {
                                                                                  deny all;
                                                                                  }
                                                                                  Что характерно для проектов в глубокой разработке без отлаженного процесса разворачивания окружения.
                                                                                  +1
                                                                                  Не понимаю, чего на Никиту агриться начали. Очень тихо и спокойно, без вреда и с улыбкой. Потом родился интересный кейс.

                                                                                  А кто про статьи УК пишет — ну, это смешно, у уголовного преступления должен быть состав, и субъективную сторону (умысел/неосторожность + мотив + цель) ещё над доказать. Я тут никакого злого умысла не вижу.
                                                                                    +4
                                                                                    Но что — то внутри не давало покоя, появилось ощущение незавершенности, от которого очень хотелось избавиться.

                                                                                    И мотив, и умысел и цель. Смеяться можно, конечно, но проблем человек получить может.

                                                                                      +2
                                                                                      Потому что помимо черного и белого (нарушен или не нарушен закон) существует еще множество оттенков серой морали, которые можно описать совершенно разными словами — от «не пойман — не вор» (всякие серые экономические схемы всех масштабов), до «формально не преступление, но поступил как мразь» (спровоцировал ДТП, но контакта не было, поэтому уехал).
                                                                                      То, что сделал автор, сложно притянуть к реальному преступлению (хотя не сомневаюсь, что после этой статьи будет +1 кейс к транспаренси репорту Хабра), и с точки зрения результатов негативных последствий (по его же словам) нет, то есть «морально» ничего плохого не было. Но сама суть поступка — на уровне нассать в кружку старшаку, который задирал тебя в летнем лагере. Мудацкий поступок в ответ на мудацкий поступок.
                                                                                      +3

                                                                                      А вот я знал человека, который очень хотел продемонстрировать своей фирме, какие у нее уязвимости, что увлекся до такой степени, что жрал лебеду почти год (не мог после увольнения устроиться на работу)

                                                                                        0
                                                                                        Горшочек с мёдом?
                                                                                          +1
                                                                                          Тут вы совершили преступление — и еще сами и сознались. Не думаю что стоит таким заниматься и писать блоги. Дураков полно — не обращайте внимания.
                                                                                            0

                                                                                            Трава — не наркотик, хакинг — не преступление. (Это шутка конечно.)

                                                                                            +1
                                                                                            Напомнило времена, когда активно фрилансил. Возник конфликт с заказчиком с которым уже работал некоторое время. По итогу договорились миром, я ему заплатил 1600 евро, хотя считал что он на 100% не прав.

                                                                                            Сумма в те времена была болезненой для меня, даже взял кредит чтоб ее выплатить. Не разу не жалею. Во первых это был хороший урок для меня, во вторых именно тогда начал сотрудничать с другими заказчиками, которые принесли мне на порядок больше денег.

                                                                                            Мораль в том, что фриланс — бизнес. Нужно спокойно относиться к прибыли и потерям. И тем более не агриться на клиентов, это принесет скорее вред, чем пользу.
                                                                                              +1
                                                                                              Похоже мне писал тот же человек пару месяцев назад в LinkedIn.
                                                                                              Странная фраза, еще более странный сайт — я просто прошел мимо.

                                                                                              Сейчас посмотрел, профиль недоступен, сообщений как будто бы не было. Только в почте уведомления остались.
                                                                                                +1

                                                                                                Один из читателей пару часов назад скинул мне скриншоты его переписки с этим же клиентом, где этот самый клиент "занимается непотребствами с его мамой" и т.д…
                                                                                                Полагаю, если поискать, мы найдем с десяток подобных случаев от этого человека.

                                                                                                0
                                                                                                Красава!
                                                                                                  +1
                                                                                                  Не забывайте делать проверку типов файлов на стороне сервера

                                                                                                  Тут скорее не проверка типов файлов. Тут единая точка входа должна быть, то есть в настройках сервера указать, что выполнять можно только один index.php по конкретному пути и всё.
                                                                                                    0
                                                                                                    Тем более на фреймворке. Указание конкретных файлов может быть затруднено на многих движках типа блога или форума, там десятки точек входа.
                                                                                                    И само собой всё приложение должно быть на уровень выше, в публичке только точка входа и файлы фронта.
                                                                                                      0
                                                                                                      я вообще был удивлен что так можно ухайдокать проект на Yii2. Там же из коробки точка входа index.php, остальное все вручную добавляется в .htaccess
                                                                                                      +5

                                                                                                      "что — то внутри не давало покоя, появилось ощущение незавершенности, от которого очень хотелось избавиться"


                                                                                                      Разработчику на карантине тоже скучно :D
                                                                                                      Клара назвала Карла дураком, а Карл Кларе на спину плюнул. А какова мораль сей басни? ;)

                                                                                                        0
                                                                                                        А какова мораль сей басни?

                                                                                                        «Уделяйте безопасности ваших проектов больше внимания» — единственная мысль, которую я хотел донести.
                                                                                                        Но в процессе описания предыстории, видимо, увлекся и мораль была немного размыта…
                                                                                                        В следующей стате постараюсь исправить свои ошибки и постараюсь написать о чем то, менее провокационном.
                                                                                                          +1

                                                                                                          Я бы назвал эту басню сказкой о потерянном времени. Заказчик получил свои доработки? Нет. Фрилансер заработал денег (он ведь из за денег разработкой занимается, да?)? Нет. Фрилансер получил какой то уникальный опыт? Ему виднее ;). Заказчик понял, что был неправ, провел аудит кода, прокачал вежливость..? Очень сомневаюсь.

                                                                                                            0
                                                                                                            «Уделяйте безопасности ваших проектов больше внимания» — единственная мысль, которую я хотел донести.
                                                                                                            Проект ещё в разработке, работа не была закончена. «Хозяин» проекта как раз уделяет внимание безопасности, раз одна из его задач была — поиск и исправление уязвимостей.
                                                                                                              0
                                                                                                              Проект ещё в разработке, работа не была закончена

                                                                                                              Не спорю, но это не та ошибка, которую можно отнести к «доработкам и исправлениям». Её в принципе быть не должно еще ДО того, как проект был начат. имхо

                                                                                                              «Хозяин» проекта как раз уделяет внимание безопасности

                                                                                                              Все верно, но, возможно, Вы удивитесь, когда узнаете, что вся забота о безопасности проявлялась лишь в уведомлениях и рекомендациях самого фреймворка (yii), где, по какой — то причине, не было ни слова об исполнении php скриптов в публичных директориях проекта.
                                                                                                          0
                                                                                                          Спасибо за веб-шелл, а есть ещё чего, с загрузкой и редактированием файлов? Пришлось однажды залезать на чужой хостинг, когда после выигранного контракта предыдущий хостер прикинулся ветошью и не стал передавать содержимое сайта.
                                                                                                          0
                                                                                                          Все вроде бы ничего, прочитал и забыл. Но что — то внутри не давало покоя, появилось ощущение незавершенности, от которого очень хотелось избавиться.

                                                                                                          Ожидал прочитать после этого "… и я отправил ответ с вопросом «В чём дело? Я только проснулся.»". Но вместо этого автор сразу полез ломать сайт. Какой обидчивый.
                                                                                                            0
                                                                                                            Ожидал прочитать после этого

                                                                                                            Я ответил, что у него очень интересный поход в работе, что я только сел за ПК и пожелал ему удачи, но уже был в ЧС.
                                                                                                            Об этом я в статье не упомянул, т.к. сообщение все равно не было прочитано.
                                                                                                              0
                                                                                                              Об этом я в статье не упомянул, т.к. сообщение все равно не было прочитано.
                                                                                                              Про ЧС можно было бы упомянуть, т.к. это важно. Иначе складывается впечатление, что Вы даже не пытались связаться с заказчиком.
                                                                                                            0
                                                                                                            Была у меня как-то история с поиском уязвимостей на сайте. Сам я никак не связан с данной областью, что добавило эпичности. В общем, собрались мы как то с одногруппниками у меня в общежитии для совместной деградации и попивания пиваса в небольших дозах. После 0,5 зашёл мой сокамерникжитель и дал идею с чатрулеткой. Мы подумали «а почему бы и нет?». Попался нам мужик, который камеру направил в монитор. Там мы без труда распознали php и попросили ссылку на сайт, просто «для посмотреть». Поняв, что перед ним не очередной онанист (которых в ЧР немеряно), а какие-то задроты, он быстро убрал камеру с монитора, но ссылку нам дал (или мы сами увидели, не помню уже). Зашли, а там что то со смертью связанное (сайт памяти, по моему) с регистрацией. Сказали, что потестируем сайт на безопасность, после чего собеседник, что называется, ливнул (очень зря, кстати). Осмотрелись, попробовали SQL-инъекции, просканировали порты. Инъекция не прошла, но удивил открытый наружу порт базы данных. Поиск по уязвимостям ничего не дал, зато в выводе сканера обнаружили ссылку на публичный репозиторий github. Удивились мы тогда знатно. Но как мы удивились, когда в коде нашли логины и пароли пользователя БД, соцсетей и ключи к API в открытом виде.

                                                                                                            Only users with full accounts can post comments. Log in, please.