Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 25
X-Frame-Options «SAMEORIGIN»?
HTTP 401 Unauthorized по Referer запроса способно доставить злодею-конкуренту волнительные переживания
Ну как нашли, ему такая «грязная бомба» (по referrer) прилетала, что они сами даже без требований все убрали…
Очень интересно, расскажите. Что можно еще такого вернуть им на такой внешний запрос, чтобы у них сразу появилось желание поскорее убрать все такие запросы? Можно ли как-то в ответе послать им исполняемый код и пользователю в браузере высветить что-нибудь ужасно неприличное?
Из самого простого в голову приходит послать им инклуды на их же собственный сайт, только в несколько раз больше. Или послать javascript, который у них будет без паузы колбасить асинхронные запросы на свой же сайт
Да много чего можно: представьте простенький редирект на не быструю и ресурсозатратную динамику на их стороне, да с теми же инклюдами внутри. Тут или браузер клиента повесится, или… ишак сдохнет…
я наблюдал еще более смешное.
сайт провайдера, который мало того что судя по резольву висит на домашнем адресе онлайма, так и если ты более-менее синхронно ткнешь его с 2 компов с одного адреса (в моем случае — решил открыть на десктопе после ноута), то улетаешь в бан на заметное время. такое ощущение что в порыве стрельбы себе в ногу, там отдачей попали еще и в лоб.
сайт провайдера, который мало того что судя по резольву висит на домашнем адресе онлайма, так и если ты более-менее синхронно ткнешь его с 2 компов с одного адреса (в моем случае — решил открыть на десктопе после ноута), то улетаешь в бан на заметное время. такое ощущение что в порыве стрельбы себе в ногу, там отдачей попали еще и в лоб.
однако факт «атаки» и какой-никакой урон налицо
Мне кажется стоило сходить к нотариусу, зафиксировать исходный код страниц сайта конкурента нотариально (так можно сделать), а потом уже убрать блокировку по ip и пойти прямиком в суд. Тут практически 100% выигрышное гражданское дело и весьма возможное уголовное для руководства конкурентов. Ну или заберут и опечатают их сервера на время процесса, тоже компенсация.
Ну насчёт 100% — сомнительно, к слову например на аргумент защиты «мой мандант просто разместил у себя 3 ссылки», контраргументы поискать бы пришлось. Согласитесь, если бы не бан, такое и атакой-то назвать трудно… А за бан они не отвечают — самострел же.
Ну, обычно суд в таких случаях привлекает экспертов по безопасности, а эксперту, мне кажется, тут будет сразу понятно, что это не просто пара невидимых ссылок (просто так добавленных на сайт конкурента...).
Ну они отправляли запросы на сайт конкурента на заведомо запретные адреса, которые вызывали недоступность сервиса. Да, конечно можно сказать в суде что я не делал SQL injection, а просто в поле имя ввел свое имя вида «vasja;select * from admin;» ну вот такое у меня странное имя, но среди экспертов идиотов мало.
Тут можно припаять и мошейничество (от лица юзеров, посылают ложную информацию на сайт кокурента) и нечестную конкуренцию и нарушение работы сайта кокурента и т.д. Причем учитывая что вредоносный код явно находится на их сайте, очень сложно будет объяснить зачем он там и как он мог там появится без разрешения владельца сайта, то есть доказательства вредоносной деятельности, как говориться, налицо.
Согласитесь, если бы не бан, такое и атакой-то назвать трудно… А за бан они не отвечают — самострел же.
Ну они отправляли запросы на сайт конкурента на заведомо запретные адреса, которые вызывали недоступность сервиса. Да, конечно можно сказать в суде что я не делал SQL injection, а просто в поле имя ввел свое имя вида «vasja;select * from admin;» ну вот такое у меня странное имя, но среди экспертов идиотов мало.
Тут можно припаять и мошейничество (от лица юзеров, посылают ложную информацию на сайт кокурента) и нечестную конкуренцию и нарушение работы сайта кокурента и т.д. Причем учитывая что вредоносный код явно находится на их сайте, очень сложно будет объяснить зачем он там и как он мог там появится без разрешения владельца сайта, то есть доказательства вредоносной деятельности, как говориться, налицо.
Ну, обычно суд в таких случаях привлекает экспертов по безопасности, а эксперту, мне кажется, тут будет сразу понятно, что это не просто пара невидимых ссылок...Да ну? И часто вы на таких судебных заседаниях бывали?
Вот как эксперт — эксперту, прокомментируйте мне для примера пожалуйста весь ужас следующего url, только плз аргументировано:
//mysite/phpMyAdmin/
SQL injection… в поле ввел свое имя вида «vasja;select * from admin;»...Это все ваши домыслы… Я про это в статье ни слова сказал, речь шла про bootsearch-фильтры.
прокомментируйте мне для примера пожалуйста весь ужас следующего url, только плз аргументировано:
//mysite/phpMyAdmin/
Ок:
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, -
При обращении скрытом обращении к url — //mysite/phpMyAdmin/ от лица пользователей сайта otherSite были допущены следующие нарушения:
1) Неправомерный доступ к серверу (ЭВМ) mysite, так как данный url не является публично доступным и более того является строго служебным и на него никак нельзя было попасть обычным для пользователей сети путем,
2) Произошло сознательное нарушение работы сервера (ЭВМ) mysite, так как злоумышленникам было заранее известно, что Неправомерный доступ от лица пользователя приведет к невозможности дальнейшей работы данного пользователя с сервером (ЭВМ) mysite,
Мы видим, что налицо, необходимое и достаточное условие причисления данного деяния к нарушению по Статья 272. Неправомерный доступ к компьютерной информации, так как в результате данных действий есть оба пункта указанных в законе: «Неправомерный доступ» и «нарушение нормальной работы ЭВМ». В результате, несомненно данные деяние должно наказываться по всей строгости закона, предусмотренного cтатьей 272.
Наличие фильтров блокировки «неправомерного доступа к компьютерной информации» на сайте mysite не может рассматриваться как смягчающее обстоятельство для лиц, допустивших данное нарушение, так как является стандартным методом защиты от «Неправомерного доступа к компьютерной информации» (см. приложение по использованию так называемых bootsearch фильтров), более того то лица совершившие данные деяния, действовали из корыстных побуждений, так как их сайт othersite является конкурентом mysite и получает прямую выгоду от нарушения работы ЭВМ mysite, и они действовали сознательно и злонамеренно, так как не существует никакой необходимости делать эту скрытую ссылку на сайт mysite, кроме как сознательного причинения ущерба конкурентом из-за «неправомерного доступа к компьютерной информации и нарушению работы сайта mysite» и им несомненно было известно о наличии подобного фильтра на сайте mysite.
OK, вот вам по пунктам контраргументы:
Во вторых очевидно, что «невозможность дальнейшей работы» с сайтом возникла в следствии по видимому некомпетентных действий администраторов самого истца. (Опять аргументы за самострел...) Или вообще это был злой умысел с его стороны, чтобы очернить ответчика.
Нда… я конечно жутко извиняюсь, но с таким адвокатом впору «мировое», да на любых условиях, подписывать…
Вы поймите я то как раз на стороне «истца», но экспертную оценку уже много раз делал, поэтому как раз сложность сего действа в этом конкретном случае себе очень хорошо представляю…
Неправомерный доступ к серверу… так как данный url не является публично доступнымТак url возвращает 404… И как вы докажете, что это был злой умысел, что это не пострадавший сам этот url сделал недоступным (увидев что мой мандант сделал ссылку) и что «самострел» вообще не специально организован, чтобы подать на конкурента в суд?
Произошло сознательное нарушение работы сервера (ЭВМ) mysite…Во первых нарушения работы сайта по видимому не было. Да и нарушение при вызове несуществующего url (404) — это нонсенс. А может url там все-таки раньше был (просто мой мандант хотел типа SEO сделать — накрутить себе рейтинг в поисковиках).
… приведет к невозможности дальнейшей работы данного пользователя с сервером
Во вторых очевидно, что «невозможность дальнейшей работы» с сайтом возникла в следствии по видимому некомпетентных действий администраторов самого истца. (Опять аргументы за самострел...) Или вообще это был злой умысел с его стороны, чтобы очернить ответчика.
Статья 272. Неправомерный доступ к компьютерной информацииНа территории нашей страны, эта статья (вероятно из кодекса УК РФ) не действует. Адвокат истца совсем берега попутал…
Нда… я конечно жутко извиняюсь, но с таким адвокатом впору «мировое», да на любых условиях, подписывать…
Вы поймите я то как раз на стороне «истца», но экспертную оценку уже много раз делал, поэтому как раз сложность сего действа в этом конкретном случае себе очень хорошо представляю…
На территории нашей страны, эта статья (вероятно из кодекса УК РФ) не действует. Адвокат истца совсем берега попутал…
А кто у нас муж… волшебник… предупреждать надо. :) Ну, откуда я могу знать, что вы говорите о судебной практике в Германии? :)
И как вы докажете, что это был злой умысел, что это не пострадавший сам этот url сделал недоступным
И засунул url на админку своего сайта на сайт конкурента? Какой может быть умысел кроме злого для обращения к такому url'у конкурента?
Так вы адвокат или прогулятся вышли ...))
возникла в следствии по видимому некомпетентных действий администраторов самого истца
ну, собственно использование практически половины уязвимостей это следствии некомпетентных действий администраторов, от этого действия не становятся законными.
Или вообще это был злой умысел с его стороны, чтобы очернить ответчика
Добавление скрытой ссылки на сайт конкурентов? Как это возможно?
А может url там все-таки раньше был (просто мой мандант хотел типа SEO сделать — накрутить себе рейтинг в поисковиках).
Ну, может или нет, доказывать конкурентам, как и причину зачем они добавили скрытый url на свои страницы. У вас будет объяснение зачем, а у них?
Но вообще, если бы сразу написали что дело в Германии, я бы вообще ничего писать не стал, ибо практику в Германии не представляю даже близко. Удачи.
Ну, может или нет, доказывать конкурентам, как и причину зачем они добавили скрытый url на свои страницы.Вам действительно лучше не «адвокадствовать»… Вы про понятие презумпции невиновности что-нибудь слышали?
У вас будет объяснение зачем, а у них?Я жеж написал ужо, SEO например…
Вы так рьяно защищаете своих конкурентов.
Вызывает изумление просто.
Вызывает изумление просто.
Ну они не мои конкуренты (я делал «аудит» почти по дружбе, для друзей очень хорошего знакомого). И я их вовсе не защищаю, я просто пытался донести опоненту всю сложность такого рода судебных разбирательств.
А так то да — редиски они конечно — тут вроде и злой умысел налицо, и мотив и т.д.
Но вот что касается доказательной базы… По крайней мере юристы компании очень сумлевались, а как выразился один мой знакомец «в суде как в открытом море — никогда не знаешь откуда ветер подует».
А так то да — редиски они конечно — тут вроде и злой умысел налицо, и мотив и т.д.
Но вот что касается доказательной базы… По крайней мере юристы компании очень сумлевались, а как выразился один мой знакомец «в суде как в открытом море — никогда не знаешь откуда ветер подует».
На территории нашей страны, эта статья (вероятно из кодекса УК РФ) не действует. Адвокат истца совсем берега попутал…
Статья 12. Действие уголовного закона в отношении лиц, совершивших преступление вне пределов Российской Федерации
1. Граждане Российской Федерации и постоянно проживающие в Российской Федерации лица без гражданства, совершившие вне пределов Российской Федерации преступление против интересов, охраняемых настоящим Кодексом, подлежат уголовной ответственности в соответствии с настоящим Кодексом, если в отношении этих лиц по данному преступлению не имеется решения суда иностранного государства.
2. Военнослужащие воинских частей Российской Федерации, дислоцирующихся за пределами Российской Федерации, за преступления, совершенные на территории иностранного государства, несут уголовную ответственность по настоящему Кодексу, если иное не предусмотрено международным договором Российской Федерации.
3. Иностранные граждане и лица без гражданства, не проживающие постоянно в Российской Федерации, совершившие преступление вне пределов Российской Федерации, подлежат уголовной ответственности по настоящему Кодексу в случаях, если преступление направлено против интересов Российской Федерации либо гражданина Российской Федерации или постоянно проживающего в Российской Федерации лица без гражданства, а также в случаях, предусмотренных международным договором Российской Федерации, если иностранные граждане и лица без гражданства, не проживающие постоянно в Российской Федерации, не были осуждены в иностранном государстве и привлекаются к уголовной ответственности на территории Российской Федерации.
Ну вот это-то здесь каким местом… Или вы подозреваете, что они (конкуренты) были русские граждане? Опять все на русских валите? Вы что же это, разжигаете межнациональную вражду? ))
А по делу: давайте сюда, в эту статью, вообще весь уголовный кодекс свалим… Ребята, ну харош уже холиварить.
А по делу: давайте сюда, в эту статью, вообще весь уголовный кодекс свалим… Ребята, ну харош уже холиварить.
Я просто хотел опровергнуть распространенное заблуждение, что преступление, совершенное на территории одного государства, не может быть расследовано и передано в суд исключительно на территории другого государства.
Если Вы – гражданин РФ, то правоохранительные органы РФ могут расследовать преступление против Вас, совершенное иностранным гражданином на территории иностранного государства (ч. 3 ст. 12 УК РФ).
Какая-то у Вас не совсем адекватная реакция на единичный комментарий.
Или вы подозреваете, что они (конкуренты) были русские граждане?
Если Вы – гражданин РФ, то правоохранительные органы РФ могут расследовать преступление против Вас, совершенное иностранным гражданином на территории иностранного государства (ч. 3 ст. 12 УК РФ).
Вы что же это, разжигаете межнациональную вражду? ))
…
Ребята, ну харош уже холиварить.
Какая-то у Вас не совсем адекватная реакция на единичный комментарий.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Блокировка по access_log, легкий способ прострелить ногу или устранение конкурентов