Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 57
Блаженны неведающие
Сурово вы их.
И эт, с мегафоном зря так. По 272 пункт 1 можно вполне нешуточно попасть.
Ну я вежливо осведомил их вроде.
Надеюсь не приедут.
Надеюсь не приедут.
На будущее — никогда не пишите подобные статьи от своего имени. Pussy Riot тоже думали, что их максимум их храма выгонят.
Пишите статьи так: «Один мой знакомый как-то раз....».
Пишите статьи так: «Один мой знакомый как-то раз....».
Ну мне за мой пост ничего не было.
>Пишите статьи так: «Один мой знакомый как-то раз....».
Угу, и тогда приедут к вам как к свидетелю, выяснять, что же это за знакомый такой.
Угу, и тогда приедут к вам как к свидетелю, выяснять, что же это за знакомый такой.
Лучше проходить по делу свидетелем, чем обвиняемым (наверное...)
Ну так если вы не сможете назвать имя этого «знакомого», то не станете ли сами подозреваемым?
Вот это заблуждение. Обвиняемый не обязан свидетельствовать против себя. Однако за отказ дать свидетельские показания (или дачу ложных) вас могут привлечь к административной и даже уголовной ответственности.
Как моему знакомому опер говорил на допросе: «Из свидетеля легко и быстро можно стать подозреваемым, а из подозреваемого — обвиняемым, ну что, будем сотрудничать со следствием?»
При этом он с характерным хрустом разминал кулаки и играл мышцами.
И да, знакомый проходил свидетелем по делу «о хищении интернетов», правда успешно косил под дурачка, да и дело в итоге грамотный юрист развалил.
При этом он с характерным хрустом разминал кулаки и играл мышцами.
И да, знакомый проходил свидетелем по делу «о хищении интернетов», правда успешно косил под дурачка, да и дело в итоге грамотный юрист развалил.
«Приснилось мне..»
«Мне голос был, он звал утешно...»
Мой уин с чьим-то другим перепутал какой-то хакер, и рассказал что натворил… Потом удалился из моего контакт-листа и форматнул мой винчестер.
отличнейший совет!
мне недавно хороший ликбез на эту тему провели — если тихо и спокойно это не значит что дела не завели. главное чтобы самого факта взлома небыло — те чтобы никто не пострадал
мне недавно хороший ликбез на эту тему провели — если тихо и спокойно это не значит что дела не завели. главное чтобы самого факта взлома небыло — те чтобы никто не пострадал
«Одна сволочь в бане рассказала...» (с)
Ну не в пятницу же такой пост выкатывать. Зачем коллегам выходные портить?
про сколково не много недопонял… Поясните пожалуйста
А вот халатность))
mts.com.ua/files/TXT_bill_july_2012.txt
mts.com.ua/files/TXT_bill_july_2012.txt
такой компанииКакой такой? Которая не стесняется сдирать с юзеров деньги любыми способами?
Честно говоря, XSS-ы в общем-то уязвимостью сами по себе и не являются.
Ну и уязвимость в стороннем просмотрщике только формально лежит на разработчиках.
Пульс и спорт, конечно, фейспалм.
Билайн и мегафон, на грани, но тоже не особо критично.
Ну и уязвимость в стороннем просмотрщике только формально лежит на разработчиках.
Пульс и спорт, конечно, фейспалм.
Билайн и мегафон, на грани, но тоже не особо критично.
Шелл зря заливали. За яйца возьмут и не посмотрят на то что писали им.
Да и ссылки не зачем было указывать на страницы с багами.
Да и ссылки не зачем было указывать на страницы с багами.
Всё правильно сделал ©
Меня заминусуют сотрудники битрикса, но я какать хотел на карму, так что скажу:
Мтс использует Битрикс в своих веб проектах, разве можно говорить о серьезности чего либо в этой компании? ТАк что не удивило что «Слава и Антон» админят сайт, иногда…
Мтс использует Битрикс в своих веб проектах, разве можно говорить о серьезности чего либо в этой компании? ТАк что не удивило что «Слава и Антон» админят сайт, иногда…
Если ребята не отключили режим отладки битрикса (вываливание таких ошибок — включенный режим отладки. Причем даже для отладочного режима есть режим «рисовать обычную ошибку и все кидать в лог». Но не осилили.), они бы не отключили его и у Drupal'а/Коханы/%вставьте сами по вкусу CMS, фреймворк и т.д.%.
Есть мнение, что любой пользовательский ввод не должен приводить к ошибкам базы.
верно. в базовых компонентах битрикса поисковых такой ошибки и нет, насколько помню. А если авторы дополнительных компонентов полезли в базу напрямую, минуя все апи… То виноват безусловно… битрикс! А то что выстрелить в ногу себе можно в любой системе, если игнорировать её методы и идти в обход — это пофиг.
Моему удивлению не было предела, как разработчики такой компании могли допустить такую банальную ошибку?!
О разработчиках «такой компании» — как правило это всякие системный интеграторы с глубокими корнями в российском бизнесе и хорошими откатами. Результат очевиден.
хочу предупредить тех, кто будет кавычки в запросы ставить, что некоторые сайты ваш ip могут автоматически заблокировать.
Все очень просто… нужно сделать сайт, чтоб красиво и удобно… а за безопасно денег то надо платить… но если красиво и удобно, то нахрен им та безопасность? Да и много ли сайтов с более менее нормальной секурностью?
Почему то кажется мне что video.sport.mts.ru это вообще не МТС ))
Этот поддомен скорее всего кого то из партнеров…
Вам не показалось странным что сервер в украине?
Этот поддомен скорее всего кого то из партнеров…
Вам не показалось странным что сервер в украине?
Grebenshikov, а можно поподробнее про pulse.mts.ru.
Ничего из сказанного не является правдой. Проект никто не ломал, шелл не заливали. Единственное что видно, так это определенное количество обращений с рефером habra. Видимо пресловутый хабра-эффект.
Ничего из сказанного не является правдой. Проект никто не ломал, шелл не заливали. Единственное что видно, так это определенное количество обращений с рефером habra. Видимо пресловутый хабра-эффект.
Вообще поражаюсь этим бестолковым cms, а также доморощенным серверам приложений. Как можно допускать sql injection? Программисты, создающие ЭТО думают, что если они спрячут sql и потенциальный взломщик не будет знать имена таблиц, то их это спасет. Прям святая наивность.
Серьезные серверы приложений парсят sql, выявляют там таблицы и проверяют права на эти таблицы пользователя текущей сессии. Пользуйтесь промышленными решениями и никакой injection вам не страшен!
Серьезные серверы приложений парсят sql, выявляют там таблицы и проверяют права на эти таблицы пользователя текущей сессии. Пользуйтесь промышленными решениями и никакой injection вам не страшен!
это как побить ребенка ) лучше тестить нормальные буржуйские сайты
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Обзор уязвимостей на сайтах «Большой Тройки»