Может хватит? Ну это действительно странно. А вы подумайте, где можно взять информацию о дипломе человека, при этом чтобы человек никак со мной не был связан.
Был бы диплом — проверил бы. Но проверял по подлинным, верно. Где взял? Вы действительно думаете, что я отвечу на этот вопрос. Очень странно, что вы думаете, что найти настоящий диплом, чтобы его проверить — сложно. Удивительно странно!
Вы знаете, вы правы, я совершенно не задумывался о том, что это привлечёт внимание хакеров. И считаю, что правильно сделал. То, о чём вы говорите — очень притянуто за уши. Вы хоть раз заходили на этот сайт? Пробовали как-то с ним взаимодействовать? Запросики там смотреть? Вконтакте очень популярный сайт со сложной системой, «хакеров», пытающихся его взломать набирается тысячи ежедневно. Одноклассники те же. Сайт Пентагона, если уж говорить о классике. И это всё сложные сайты, и что-то я не замечаю, что их взламывали ежедневно из-за того, что много народа пытается это сделать. Тут же одна страничка! Она отправляет пост запрос. Страница при этом выводит ровно ту информацию, которая есть в БД, либо не выводит ничего. Совершить ещё одну ошибку на этом ресурсе просто невозможно. Если вы со мной несогласны — я не хочу спорить. Просто приведите пример возможной уязвимости этой страницы. Желательно проверьте, есть ли место ей быть. Если да — то я заберу свои слова обратно. Да и вообще — это государственный сайт, он первый в поиске по запросу проверки дипломов, им пользуются практически все уважающие себя работодатели, на него ведут кучу других государственных и негосударственных сайтов. А я, значит, внимание привлекаю.
P.S.: Скажу честно, привлечение внимание к сайту, на котором уже заделана дыра — очень уж, по-моему, притянутая придирка. Не то чтобы я пытаюсь обелить себя, но тут своей вины точно не вижу, ну не верю я. Можем остаться при своих мнениях, вряд ли я изменю своё — а вы своё. Если спор не изменит чьего-либо мнения, то он не нужен. Но я надеюсь, что следующий свой ответ вы аргументируете так, что не согласиться с ним будет невозможно
Я бы хотел рассказать о моих мыслях о причинах существования этой дыры:
1. Сайт делался на коленке и дыра просто была упущена. В 95% случаях я не первый, кто её заметил. Возможное решение: дабы ускорить пресечение пользования дырой рассказать об этом громко и чётко, так как официальное обращение растянуло бы этот срок.
2. Сайт делался на коленке, но разработчику было известно о дыре. И хуже того, было известно о том, что её используют. В 95% случаях я не первый, кто её заметил. Возможное решение: рассказать о дыре незамедлительно, чтобы у администраторов точно не было поводов и отмазок оставлять дыру незакрытой. К тому же сказать, что я всё скачал и так может сделать любой.
И раз уже в 95% случаях (цифра выдуманная, но я думаю, Вы со мной согласитесь) дыру уже нашли и ею пользовались, а все до сих пор живы — значит тут работает более крупная схема, для которой, наоборот, выгодно, чтобы подавляющее большинство было «живым». Это моя логика, но она может быть неверна.
Первое, о чём я подумал: «Не может быть!». Думал, что сайт заглушка, что база — пустышка с ФИО и датами рождения и так далее. Поэтому и проверил. По поводу базы — у меня её нет. Если бы я не написал, что база была скачана — дыра продержалась бы в три раза дольше. А так как я написал настоящую инструкцию — это позволило бы людям скачать данные. И вы правы — вырывая такими кусочками данные скачается совсем мало даже за 3 часа, к тому же нужно ещё время, чтобы понять структуру таблиц.
Вызывали?
Это действительно интересная идея. Но я так не думаю, потому что за дырой лежали реальные данные (я проверял), которые продаются на чёрных рынках. И на эти данные огромный спрос.
Всё, как по учебнику) анонимайзер-опасно, таким образом доверяешь свой ip ему, если выбрать правильный браузер. А аккаунт действительно свежий. Жаль, что на основной аккаунт карма не повлияет(
Нет, почему, я бы вполне мог создать одноразовую почту на каком-нибудь зарубежном сервисе и написать им с него. Но, давайте честно, вместо того, чтобы прикрыть уязвимость, будут сначала пытаться искать отправителя. А сейчас, когда, я надеюсь, набегут скрипт-кидди или реально серьёзные люди до данных — они будут вынуждены сначала закрыть сайт, а потом латать дыры.
P.S.: Скажу честно, привлечение внимание к сайту, на котором уже заделана дыра — очень уж, по-моему, притянутая придирка. Не то чтобы я пытаюсь обелить себя, но тут своей вины точно не вижу, ну не верю я. Можем остаться при своих мнениях, вряд ли я изменю своё — а вы своё. Если спор не изменит чьего-либо мнения, то он не нужен. Но я надеюсь, что следующий свой ответ вы аргументируете так, что не согласиться с ним будет невозможно
1. Сайт делался на коленке и дыра просто была упущена. В 95% случаях я не первый, кто её заметил. Возможное решение: дабы ускорить пресечение пользования дырой рассказать об этом громко и чётко, так как официальное обращение растянуло бы этот срок.
2. Сайт делался на коленке, но разработчику было известно о дыре. И хуже того, было известно о том, что её используют. В 95% случаях я не первый, кто её заметил. Возможное решение: рассказать о дыре незамедлительно, чтобы у администраторов точно не было поводов и отмазок оставлять дыру незакрытой. К тому же сказать, что я всё скачал и так может сделать любой.
И раз уже в 95% случаях (цифра выдуманная, но я думаю, Вы со мной согласитесь) дыру уже нашли и ею пользовались, а все до сих пор живы — значит тут работает более крупная схема, для которой, наоборот, выгодно, чтобы подавляющее большинство было «живым». Это моя логика, но она может быть неверна.
Это действительно интересная идея. Но я так не думаю, потому что за дырой лежали реальные данные (я проверял), которые продаются на чёрных рынках. И на эти данные огромный спрос.