|
0 Всего найдено: 64
informatic
Сообщение
06/01/2008 15:59
Копия темы
Ой не могу!!! . Вообще ужос какойто! Смех и грех! Пароли в чистом виде, открытые для чтения, в корневой папке со страницей index.php! Товарищи программисты! Не делайте так, это опасно не только для сайта и сервера, но и для безопасников, которые могут умереть от смеха!!! о_0 ЗЫ: нашел за 2 минуты (Рекорд)
informatic
Сообщение
06/01/2008 16:00
Копия темы
Выводы: . никогда: 1. Не храните пароли на сервере где лежит сайт потенциальная жертва 2. Если храните шифруйте!
informatic
Сообщение
06/01/2008 16:01
Копия темы
. Это самая тупая уязвимость которую я нашел в своей жизни!
informatic
Сообщение
06/01/2008 16:01
Копия темы
. это вообще пик совершенства! Чистые пароли в открытом виде, с правами чтения в корне каталога!
kuzminsky
Сообщение
06/01/2008 16:01
Копия темы
. А рисовать-то зачем? Это всё не воспринимается серьёзно.
informatic
Сообщение
06/01/2008 16:05
Копия темы
. не имею права даже для себя использовать, я уже отписался студии которая делала им сайт и буду выходить на связь с программистом и писать петицию, чтобы немедленно исправили!
informatic
Сообщение
06/01/2008 16:10
Копия темы
. Я пытался найти уязвимость (Согласованно с администрацией), но не смог. Тут даже не в защите дело, а во мне. Уровень у меня не тот честно говоря, чтобы Фриланс тестировать на ошибки безопасности =))
informatic
Сообщение
06/01/2008 16:11
Копия темы
. это просто огромный незачет программисту, который это писал!
csky
Сообщение
06/01/2008 16:41
Копия темы
. Это не уязвимость это просто тупость. чему так радоваться непонятно.
informatic
Сообщение
06/01/2008 17:45
Копия темы
. и Вы оба неправы. Для нахождения файла я использовал уязвимость
green056
Сообщение
06/01/2008 18:50
Копия темы
. если честно, здесь не так много программистов) и мало кто это оценит_)
informatic
Сообщение
06/01/2008 18:57
Копия темы
. я выложил для смеха, смеха с той тупости которую допустили авторы сайта. А не для того чтобы показать какой я мегахацкер или доказывать чтолибо комулибо
informatic
Сообщение
06/01/2008 18:59
Копия темы
. я до сих пор в шоке 0_о вот это гениальные умы программистов...
csky
Сообщение
06/01/2008 18:59
Копия темы
. 1) выглядит это как раз как я мегахацкер 2) Внутри есть гораздо более смешные вещи, учите программирование.
Svyatozar
Сообщение
06/01/2008 19:01
Копия темы
. Не надо быть программистом чтобы оценить сей маразм :) хранить пароли в текстовом файлике в корневой папке,это бред полный! В корне лежит index.html, на неё попадает любой пользователь, значит правила авторизации и аутентификации на корневуюю папку не действуют, к ней открыт полный доступ. И я не знаю кем надо быть что бы кинуть в эту же папку файлик с паролями :) :) :)
informatic
Сообщение
06/01/2008 19:02
Копия темы
. Это не ко мне =) Я не в праве решать такие вопросы
informatic
Сообщение
06/01/2008 19:04
Копия темы
. Ошибаетесь Илья, сначала я нашел уязвимость, а потом использовав её вышел на содержимое хостинга, где случайно нашел открытые пароли.
informatic
Сообщение
06/01/2008 19:05
Копия темы
. сама уязвимость вовсе нет, так как нашел её исключительно "балуясь" с url`ом, а вот результат... неожиданный =) =) =)
informatic
Сообщение
06/01/2008 19:07
Копия темы
. +1 к любому файлу можно задавать разные права. В этом весь прикол =)
Svyatozar
Сообщение
06/01/2008 19:07
Копия темы
. можно конечно не спорю :) но в нашем случае работали либо полные идиоты либо правокаторы :)
csky
Сообщение
06/01/2008 19:08
Копия темы
. тогда и говорить надо об уязвимости, а не о файле. Такой файл есть у очень многих сайтов.
Svyatozar
Сообщение
06/01/2008 19:09
Копия темы
. +1 про php сказать ничего не могу, а в ASPX так и делаю. см. ниже :)
csky
Сообщение
06/01/2008 19:09
Копия темы
. это просто пример раздолбайства. При передаче сайта скорее всего просто не удалили файл.
informatic
Сообщение
06/01/2008 19:15
Копия темы
. Понимаете, тут дело кокраз не в уязвимости. Я не знаю каким нужно быть наивным, чтобы в файлик в корне записывать все админские логины и пароли на ФТП, админку сайта и БД... я понимаю, например можно запомнить пароль от ФТП... а папках с закрытым доступом хранить остальные пароли (Раз память туга) ... да и то зашифрованные. Но нет а зачем? А умный, для хаккеров подарок чистые пароли и логины.
informatic
Сообщение
06/01/2008 19:16
Копия темы
. Не только. Не выполнили даже самый дешевый аудит. Остались самые тупые уязвимости..
csky
Сообщение
06/01/2008 19:22
Копия темы
. дешевого аудита не бывает. Таких сайтов в сети куча и еще чуть-чуть. Сейчас многие считают себя веб-программистами.
informatic
Сообщение
06/01/2008 19:33
Копия темы
. Давайте на "ты", если Вы не против (Я со всеми на "ты, просто Вы на "Вы" разговариваете и мне неудобно перейти на "ты" первым) Дешевый имеется в виду "поверхностный", короче как простое тестирование сайта, направленное не сколько как на обеспечение безопасности, а как на нахождение "косячков" натяжки дизайна, перепутанных местами страниц и т.д.
green056
Сообщение
06/01/2008 19:59
Копия темы
. не вижу смысла смеяться, ладно бы это был бы какой-то серьезный проект, а так мало ли лапухов на свете..
informatic
Сообщение
06/01/2008 20:07
Копия темы
. да не я просто в шоке, а на базе шока уже и истерика + смех
csky
Сообщение
06/01/2008 20:27
Копия темы
. тестирование это тестирование, а аудит это уже разговор о безопасности(в данном контексте). Я предпочитаю на вы.
informatic
Сообщение
06/01/2008 20:57
Копия темы
. Действительно, я ошибся. Но тем не менее суть не меняется (самого вопроса). Такую тупую уязвимость должен был закрыть сам программист, ещё на стадии разработки
informatic
Сообщение
06/01/2008 20:58
Копия темы
. ну и рассказать о мерах безопасности, о том где можно и нельзя хранить пароли
csky
Сообщение
06/01/2008 21:13
Копия темы
0
. я так и сказал, просто безответственное отношение. Ничего необычного. |
Выразить восторг, поругаться или предложить что-нибудь можно на форуме |
Для обсуждения этого сервиса так же есть темы на фрилансе по поиску , флудотопу ,и по удалённым сообщениям ,и по Актуальным/популярным темам , и по топу "кто кому больше наотвечал" |