Как стать автором
Обновить

Дыра на free-lance.ru

Время на прочтение1 мин
Количество просмотров4.7K
Находка

Всё начиналось как обычно. Очередной вечер в поисках маленького проекта на 2-3 часа. Оставляю комментарий к проекту и жду ответа. Обновляю страницу, начинает тормозить интернет, нервничаю, раз 5 подряд жму F5. И что же я вижу:



Я искренне удивляюсь такой картине и обновляю страницу. Вижу что и должен — главную страницу. Решил повторить. Опять также самая ситуация. Просмотрев мельком код, решил прогуляться по include'ам, и тут обнаружил, что всё, что лежит в "/classes" отдаётся в исходных кодах без всяких дополнительных манипуляций. А вот и заветный config.php:



Саппорт

Ну поигравшись с файлам, пришло время писать саппорт проект. Описал проблему, условия возникновения. На следующий день мне ответили, поинтересовались используемым ПО и «С какой целью вы анализируете исходный код сайта?». Подробно ещё раз всё описал, приложил скриншоты. Ещё через один день поблагодарили за участие в жизни проекта и сказали, что исправят ошибку к утру. Мой гражданский долг был выполнен. Я могу спать спокойно.

Но не тут то было. На следующий день решил проверить работу саппорта. При попытке просмотра файлов из папки «classes» всё отлично — 403 ошибка. А вот index.php и все остальные файлы из корня, по-прежнему, отдаются при многократном обновлении страницы. И продолжалось это безобразие ещё примерно неделю. Вот теперь точно можно быть спокойным.

P.S. Всё это происходило в начале декабря. Публиковать не собирался, но так же как и многие получил сегодня письмо о «ежегодной смене паролей», прочел топик "Принудительная смена паролей на сайте, или забота о моей безопасности. Или free-lance.ru сломали?" и решил, что опубликовать стоит потому, что ничто не мешало увести базы.
Теги:
Хабы:
Всего голосов 255: ↑244 и ↓11+233
Комментарии196

Публикации

Истории

Работа

Ближайшие события

27 августа – 7 октября
Премия digital-кейсов «Проксима»
МоскваОнлайн
11 сентября
Митап по BigData от Честного ЗНАКа
Санкт-ПетербургОнлайн
14 сентября
Конференция Practical ML Conf
МоскваОнлайн
19 сентября
CDI Conf 2024
Москва
20 – 22 сентября
BCI Hack Moscow
Москва
24 сентября
Конференция Fin.Bot 2024
МоскваОнлайн
25 сентября
Конференция Yandex Scale 2024
МоскваОнлайн
28 – 29 сентября
Конференция E-CODE
МоскваОнлайн
28 сентября – 5 октября
О! Хакатон
Онлайн
30 сентября – 1 октября
Конференция фронтенд-разработчиков FrontendConf 2024
МоскваОнлайн