Ты разработчик сейфов. И ты объявил конкурс, что если кто-то взломает твой сейф — получит деньги.
Ты случайно оставляешь во дворе на лавочке ключи от квартиры, я проверив, не ханипот ли это, открываю твою квартирную дверь. Как оказалось, в связке ключей еще и ключи от машины и офиса. А этим можно нанести огромный ущерб.
Уязвимость ли это?
Любая компания не может раскидываться деньгами налево-направо, есть программа Bug Bounty, с условиями конкурса, на который выделен бюджет. Просто платить из кармана (с своей зарплаты) никто не хочет.
Да, это мощная утечка, инцидент, оплошность работника, но награду за это никто не обещал и ничего не должен. Как за утерю паспорта. Или ключей. Можно договориться чисто на человеческих отношениях, не более.
фемтосоты и фреймворки для OTA-эксплуатации, радары и усилители радиосигнала, скиммеры и RFID-программаторы для подделки смарт-карт и банковских карт, атомно-силовые микроскопы и химическая лаборатория для анализа чипов, IoT-ботнеты для организации DDoS-атак, приборы ночного видения и телескопы для наблюдения
Вот только я не понял, как в статье оказался скрин веб-шелла (пример полученных исходных кодов). Вы через админку залазили и заливали (судя по варианту вектора атаки)? :)
Теоретически, если обойти waf, то да, возможно xss, а для битрикса это вдвойне опасно, так как есть выполнение произвольного кода из коробки (в админ панели). Но это — нет.
Ну не совсем что угодно, у битрикса ж есть небольшой waf на xss, так что я не уверен, что можно вставить хоть какой-либо js. А картинку можно и в комментарии вставить (и собирать статистику о пользователях).
Да бросте вы, просто автор реагирует, как из мухи делают слона. Вот распечатал он только зря :)
Даже тот же nmap не нагружает порт 9100, чтобы не распечатывать всякую дичь. Так это еще с доисторических лет!)
Всё это понятно любому, а вот СМИ подхватывают и пиарят «крутых хакеров», которые «взломали» тысячи принтеров. Всё давно уже взломано, ребята.
Ты случайно оставляешь во дворе на лавочке ключи от квартиры, я проверив, не ханипот ли это, открываю твою квартирную дверь. Как оказалось, в связке ключей еще и ключи от машины и офиса. А этим можно нанести огромный ущерб.
Уязвимость ли это?
Любая компания не может раскидываться деньгами налево-направо, есть программа Bug Bounty, с условиями конкурса, на который выделен бюджет. Просто платить из кармана (с своей зарплаты) никто не хочет.
Да, это мощная утечка, инцидент, оплошность работника, но награду за это никто не обещал и ничего не должен. Как за утерю паспорта. Или ключей. Можно договориться чисто на человеческих отношениях, не более.
Вот тебе и white hat :D
Тоже с собой ношу, вдруг пригодится
//ждем статьи про mercurial?
Один из примеров
https://bo0om.ru/zn2014/sd/
Да и вообще, зачем в 2016 apache? Но это уже другая история…
Интересно то, что вы рассказываете, как украли
и не боитесь ответственности за это! =)
Открываешь шодан — о, куча %object% без пароля. Лол
Полгода спустя в СМИ: специалисты компании %company% нашли 100500 незащищенных %object%!
Даже тот же nmap не нагружает порт 9100, чтобы не распечатывать всякую дичь. Так это еще с доисторических лет!)
Всё это понятно любому, а вот СМИ подхватывают и пиарят «крутых хакеров», которые «взломали» тысячи принтеров. Всё давно уже взломано, ребята.