Comments 68
Сегодня прям наплыв историй о хакерах… Весна наверное…
хакер.ру переехал на хабр? Уж больно стиль похожий :)
Статья старая, писал давно для тематического форума. Сейчас решил выложить, потому что сердце болит за уязвимые сайты…
что в этом плохого? — написано ведь доходчиво и разжевано для хаберов от хабера
вы ведать на какер.ру постов не читали детально — там черт ногу сломит — а тут красиво разжеваная cross-scripting атака — здорово короче!
По топику — нашел ошибки в незашифрованных конфигах и невыставленных chmod'ах на них, логах и passwd. еще почему можно прыгать по директориям (как это выключить?) и на java какие еще опасные модули кроме xslt_url?
если можно длинный список таких опасных модулей для php, java и тд — буду благодарен! спасибо
вы ведать на какер.ру постов не читали детально — там черт ногу сломит — а тут красиво разжеваная cross-scripting атака — здорово короче!
По топику — нашел ошибки в незашифрованных конфигах и невыставленных chmod'ах на них, логах и passwd. еще почему можно прыгать по директориям (как это выключить?) и на java какие еще опасные модули кроме xslt_url?
если можно длинный список таких опасных модулей для php, java и тд — буду благодарен! спасибо
«Этой статьей мы не хотели кого-то обидеть, просто хотим донести миру, что защищенных систем не бывает. Нанимайте профессионалов, которые будут делать вам аудит информационных систем. „
Я бы сказал: не нанимайте “профессионалов» которые подобные грубые ошибки делают.
Я бы сказал: не нанимайте “профессионалов» которые подобные грубые ошибки делают.
UFO just landed and posted this here
Спасибо, интересно.
Разочаровывает долгая реакция сотрудников банка на информацию, которая должна помочь их работе.
Разочаровывает долгая реакция сотрудников банка на информацию, которая должна помочь их работе.
А что банк?
Приглашения на встречу с чаем, вручения денежной премии, предложения о сотрудничестве или хотя бы ответного письма со словом «спасибо» вы от них дождались?
Приглашения на встречу с чаем, вручения денежной премии, предложения о сотрудничестве или хотя бы ответного письма со словом «спасибо» вы от них дождались?
Пишите по-русски! Ну пожалуйста!
Почти как история в книге: Искусство взлома
По мне так Хабр не место, для душещипательных историй о взломе.
А можно вопрос? почему в начале это оператор сотовой связи, а потом банк?
Ну нашли пароли, а дальше-то что? Толку вам от них? Как-то не закончено, или есть что скрывать? :) Банк все-таки… ))
Как информационному безопаснику, интересно было почитать. Отличная статья, спасибо.
На следующий день, мы написали письмо, описали все уязвимости, которые нам удалось найти. И отправили письмо на почту банка.
а чем вы занимались между моментом обнаружения уязвимостей и отправкой письма? ;)
Однажды я устроился на работу в одно гос. ведомство.
В первый же день сдал им дырень на их сайте, суть которой была в том, что переменная ?mode вызывалась на серверной стороне тупо и просто eval($mode).
Наверное неприятно им было сидеть до 12-ти ночи латать все скрипты.
Но это еще фигня. Что было когда я им кучу sql-йнъекций показал!.. :) И это был государственный сайт.
В первый же день сдал им дырень на их сайте, суть которой была в том, что переменная ?mode вызывалась на серверной стороне тупо и просто eval($mode).
Наверное неприятно им было сидеть до 12-ти ночи латать все скрипты.
Но это еще фигня. Что было когда я им кучу sql-йнъекций показал!.. :) И это был государственный сайт.
Нанимайте профессионалов, которые будут делать вам аудит, прогуливая уроки рускаво езыка.
+7 ХХХХХХХХХ если возьмёт мама — попросите позвать Вадика
+7 ХХХХХХХХХ если возьмёт мама — попросите позвать Вадика
Опасная это штука.
Знакомый как-то поведал. Фирма, где он работал, технически поддерживала веб сайт города. И однажды, админам пришло письмо подобное вашему — мол нашел дыры такие-то, почините. Но админы почему-то заморачиваться не стали и сообщили в «милицию» (я не знаю точного названия организации/отдела) о взломе сайта. На следующий день «злоумышленника» нашли, и дело направили в суд. Чем закончилось — не знаю.
Знакомый как-то поведал. Фирма, где он работал, технически поддерживала веб сайт города. И однажды, админам пришло письмо подобное вашему — мол нашел дыры такие-то, почините. Но админы почему-то заморачиваться не стали и сообщили в «милицию» (я не знаю точного названия организации/отдела) о взломе сайта. На следующий день «злоумышленника» нашли, и дело направили в суд. Чем закончилось — не знаю.
Да, такое в нашей стране возможно. Слышал подобные истории. Просто я чист перед законом. Я сообщил информацию сначала им, и только ПОСЛЕ исправления ВСЕХ уязвимостей об этой информации узнали третьи лица. Я такого закона не знаю, под которым я буду виноват…
Сам был в подобной ситуации… такой вот аудит в 2001 году сайта областного департамента статистики… тоже письмо админу… админ недолго думаю в милицию… так вот если бы в банке написали заявление это как минимум была бы статья Статья 272 УК РФ. Неправомерный доступ к компьютерной информации — раз вы были вдвоем, то это часть вторая, до 5 лет лишения свободы…
нам в свое время относительно повезло, удалось замять… отделались по разному: кого то с универа отчислили, кого то с общежития турнули…
нам в свое время относительно повезло, удалось замять… отделались по разному: кого то с универа отчислили, кого то с общежития турнули…
чист перед законом
Это какой-то очень странный аргумент с вашей стороны… вам или 15 лет или вы сказочно, запредельно наивны. Вас запросто могли посадить за ваше доброе дело.
Это какой-то очень странный аргумент с вашей стороны… вам или 15 лет или вы сказочно, запредельно наивны. Вас запросто могли посадить за ваше доброе дело.
Обвинительным приговором кончилось, естественно. Сейчас оправдательных приговоров в суде звучит в десятки раз меньше, чем при Сталине, например.
Как по мне бред сливать в «милицию» за то что указали на дыру, другое дело когда тот кто указал что то сломал (например, сделал дефейс). А то как бЭ получается что прохожему показали что у него шнурки развязаны, а тот в «милицию».
честно говоря, у меня те же опасения.
Выход есть, конечно: работать через левые прокси-серверы или Tor. Но это геморный выход.
Выход есть, конечно: работать через левые прокси-серверы или Tor. Но это геморный выход.
Мдя. Доброе дело (предупреждать о дырах то бишь) нужно делать анонимно, проксированно, vpn-но и через ботов.
Не в обиду будет сказано, но прям журнал ][акер какой-то…
«История одного проникновения» — отличное название для любовного романа!)
А db-accounts там случаем не было?
сколько людей не учи но все равно:
Раз уж пишете
Resin-3.0.s060216 (built Thu, 16 Feb 2006 09:17:50 PST)то скрывать название банка бессмысленно :) Кто в теме — то и знает, кто не знает но интересно — нагуглит :)
Через 3 недели уязвимости присутствовали. Мы отправили ещё раз письмо
Зря. Законы эволюции — полезная вещь, а вы помешали им выполнить свое дело.
Зря. Законы эволюции — полезная вещь, а вы помешали им выполнить свое дело.
Недели ловли хакеров на хабре?
Недавно обнаружил уязвимость в одном интернет магазине. Закрыли тоже только после второго письма (через две недели). Ожидал письма с благодарностью но не дождался =)
Наверно банк и тот магазин один админ обслуживает =)
Наверно банк и тот магазин один админ обслуживает =)
Весна на хабре. Сплошные истории проникновений.
Заголовок в стиле порнхабра :)
UFO just landed and posted this here
Sign up to leave a comment.
История одного проникновения