Как стать автором
Обновить

Комментарии 57

Блаженны неведающие
И эт, с мегафоном зря так. По 272 пункт 1 можно вполне нешуточно попасть.
Ну я вежливо осведомил их вроде.
Надеюсь не приедут.
На будущее — никогда не пишите подобные статьи от своего имени. Pussy Riot тоже думали, что их максимум их храма выгонят.
Пишите статьи так: «Один мой знакомый как-то раз....».
Ну мне за мой пост ничего не было.
Хотя масштаб очень разный, да.
>Пишите статьи так: «Один мой знакомый как-то раз....».

Угу, и тогда приедут к вам как к свидетелю, выяснять, что же это за знакомый такой.
Лучше проходить по делу свидетелем, чем обвиняемым (наверное...)
Ну так если вы не сможете назвать имя этого «знакомого», то не станете ли сами подозреваемым?
«Моего знакомого зовут Федор Евлампиевич, фамилию не знаю, мы познакомились на улице ХХ, видел я его 1 раз, выпили пива, поболтали и разошлись...»
Тогда надо отвечать: «Против себя свидетельствовать отказываюсь.»
Вот это заблуждение. Обвиняемый не обязан свидетельствовать против себя. Однако за отказ дать свидетельские показания (или дачу ложных) вас могут привлечь к административной и даже уголовной ответственности.
НЛО прилетело и опубликовало эту надпись здесь
Как моему знакомому опер говорил на допросе: «Из свидетеля легко и быстро можно стать подозреваемым, а из подозреваемого — обвиняемым, ну что, будем сотрудничать со следствием?»
При этом он с характерным хрустом разминал кулаки и играл мышцами.
И да, знакомый проходил свидетелем по делу «о хищении интернетов», правда успешно косил под дурачка, да и дело в итоге грамотный юрист развалил.
«Приснилось мне..»
«Мне голос был, он звал утешно...»
НЛО прилетело и опубликовало эту надпись здесь
Мой уин с чьим-то другим перепутал какой-то хакер, и рассказал что натворил… Потом удалился из моего контакт-листа и форматнул мой винчестер.
«Кладем диск в чемоданчик, нажимаем кнопочку… вот, чистый диск, смотрите как хорошо!»
отличнейший совет!
мне недавно хороший ликбез на эту тему провели — если тихо и спокойно это не значит что дела не завели. главное чтобы самого факта взлома небыло — те чтобы никто не пострадал
«Одна сволочь в бане рассказала...» (с)
Ну не в пятницу же такой пост выкатывать. Зачем коллегам выходные портить?
про сколково не много недопонял… Поясните пожалуйста
Конторка, которая создавала интерактивный отсчет для МегаФона, делала презентацию для Сколково, которую покали президенту.
О, Боже, только не это!
А вот халатность))

mts.com.ua/files/TXT_bill_july_2012.txt
Оно до сих пор там лежит...))
лежит, лежит…
такой компании
Какой такой? Которая не стесняется сдирать с юзеров деньги любыми способами?
Мы наверное в разных странах живем. Но, к сожалению, у меня, да и у многих, бОльшая часть компаний нацелены именно на количественный фактор.
Ну а что касается статьи, здесь, наверное, имелось ввиду масштаб.
Честно говоря, XSS-ы в общем-то уязвимостью сами по себе и не являются.
Ну и уязвимость в стороннем просмотрщике только формально лежит на разработчиках.
Пульс и спорт, конечно, фейспалм.
Билайн и мегафон, на грани, но тоже не особо критично.
НЛО прилетело и опубликовало эту надпись здесь
Шелл зря заливали. За яйца возьмут и не посмотрят на то что писали им.
Да и ссылки не зачем было указывать на страницы с багами.
Всё правильно сделал ©
Меня заминусуют сотрудники битрикса, но я какать хотел на карму, так что скажу:
Мтс использует Битрикс в своих веб проектах, разве можно говорить о серьезности чего либо в этой компании? ТАк что не удивило что «Слава и Антон» админят сайт, иногда…
Если ребята не отключили режим отладки битрикса (вываливание таких ошибок — включенный режим отладки. Причем даже для отладочного режима есть режим «рисовать обычную ошибку и все кидать в лог». Но не осилили.), они бы не отключили его и у Drupal'а/Коханы/%вставьте сами по вкусу CMS, фреймворк и т.д.%.
Есть мнение, что любой пользовательский ввод не должен приводить к ошибкам базы.
верно. в базовых компонентах битрикса поисковых такой ошибки и нет, насколько помню. А если авторы дополнительных компонентов полезли в базу напрямую, минуя все апи… То виноват безусловно… битрикс! А то что выстрелить в ногу себе можно в любой системе, если игнорировать её методы и идти в обход — это пофиг.
Моему удивлению не было предела, как разработчики такой компании могли допустить такую банальную ошибку?!


О разработчиках «такой компании» — как правило это всякие системный интеграторы с глубокими корнями в российском бизнесе и хорошими откатами. Результат очевиден.
НЛО прилетело и опубликовало эту надпись здесь
хочу предупредить тех, кто будет кавычки в запросы ставить, что некоторые сайты ваш ip могут автоматически заблокировать.
Все очень просто… нужно сделать сайт, чтоб красиво и удобно… а за безопасно денег то надо платить… но если красиво и удобно, то нахрен им та безопасность? Да и много ли сайтов с более менее нормальной секурностью?
Почему то кажется мне что video.sport.mts.ru это вообще не МТС ))
Этот поддомен скорее всего кого то из партнеров…

Вам не показалось странным что сервер в украине?
Я собственно про это написал.
Сервер принадлежит <>, они поставляют мобильный контент и услуги на wap сайтах.
Парсер порезал, «Jump»
К сожалению это никакого отношения к мст не имеет. У меня тоже есть поддомен мтс, и если меня взломают это означает что взломают мтс?
Да, но пользователи то не знают, что сервер не принадлежит мтс'у переходя по ссылке, полученной от мошенников.
В этом вы конечно правы… Но это уже совсем другая темя о которой несколько недель назад был отдельный топик.

Вот я залил на МТС скрин ))


Grebenshikov, а можно поподробнее про pulse.mts.ru.

Ничего из сказанного не является правдой. Проект никто не ломал, шелл не заливали. Единственное что видно, так это определенное количество обращений с рефером habra. Видимо пресловутый хабра-эффект.
Шелл был залит на video.sport.mts.ru.
На пульсе только xss, и он к мтс'у тоже не слишком относится, т.к. пофиксили только на shop.mts.ru

Если Вы имеете доступ, а судя по всему именно так и есть, было логично её исправить, ибо это не слишком сложно.
Да, Вы правы про доступ. Исправим в ближайшее время. shop.mts.ru и pulse.mts.ru между собой никак не связаны, если не брать в расчет общий домен 2 уровня.
НЛО прилетело и опубликовало эту надпись здесь
Вообще поражаюсь этим бестолковым cms, а также доморощенным серверам приложений. Как можно допускать sql injection? Программисты, создающие ЭТО думают, что если они спрячут sql и потенциальный взломщик не будет знать имена таблиц, то их это спасет. Прям святая наивность.
Серьезные серверы приложений парсят sql, выявляют там таблицы и проверяют права на эти таблицы пользователя текущей сессии. Пользуйтесь промышленными решениями и никакой injection вам не страшен!
это как побить ребенка ) лучше тестить нормальные буржуйские сайты
Сейчас, я начинаю думать, что это скорее «побить самого себя»
D:
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории