informatic
Сообщение
06/01/2008 15:59
Копия темы
Ой не могу!!! .
Вообще ужос какойто! Смех и грех!
Пароли в чистом виде, открытые для чтения, в корневой папке со страницей index.php!
Товарищи программисты! Не делайте так, это опасно не только для сайта и сервера, но и для безопасников, которые могут умереть от смеха!!! о_0
ЗЫ: нашел за 2 минуты (Рекорд)
Ой не могу!!! .
Вообще ужос какойто! Смех и грех!
Пароли в чистом виде, открытые для чтения, в корневой папке со страницей index.php!
Товарищи программисты! Не делайте так, это опасно не только для сайта и сервера, но и для безопасников, которые могут умереть от смеха!!! о_0
ЗЫ: нашел за 2 минуты (Рекорд)
informatic
Сообщение
06/01/2008 16:00
Копия темы
Выводы: .
никогда:
1. Не храните пароли на сервере где лежит сайт – потенциальная жертва
2. Если храните – шифруйте!
Выводы: .
никогда:
1. Не храните пароли на сервере где лежит сайт – потенциальная жертва
2. Если храните – шифруйте!
informatic
Сообщение
06/01/2008 16:01
Копия темы
.
Это самая тупая уязвимость которую я нашел в своей жизни!
.
Это самая тупая уязвимость которую я нашел в своей жизни!
informatic
Сообщение
06/01/2008 16:01
Копия темы
.
это вообще пик совершенства! Чистые пароли в открытом виде, с правами чтения в корне каталога!
.
это вообще пик совершенства! Чистые пароли в открытом виде, с правами чтения в корне каталога!
kuzminsky
Сообщение
06/01/2008 16:01
Копия темы
.
А рисовать-то зачем?
Это всё не воспринимается серьёзно.
.
А рисовать-то зачем?
Это всё не воспринимается серьёзно.
informatic
Сообщение
06/01/2008 16:05
Копия темы
.
не имею права даже для себя использовать, я уже отписался студии которая делала им сайт и буду выходить на связь с программистом и писать петицию, чтобы немедленно исправили!
.
не имею права даже для себя использовать, я уже отписался студии которая делала им сайт и буду выходить на связь с программистом и писать петицию, чтобы немедленно исправили!
informatic
Сообщение
06/01/2008 16:10
Копия темы
.
Я пытался найти уязвимость (Согласованно с администрацией), но не смог. Тут даже не в защите дело, а во мне. Уровень у меня не тот честно говоря, чтобы Фриланс тестировать на ошибки безопасности =))
.
Я пытался найти уязвимость (Согласованно с администрацией), но не смог. Тут даже не в защите дело, а во мне. Уровень у меня не тот честно говоря, чтобы Фриланс тестировать на ошибки безопасности =))
informatic
Сообщение
06/01/2008 16:11
Копия темы
.
это просто огромный незачет программисту, который это писал!
.
это просто огромный незачет программисту, который это писал!
csky
Сообщение
06/01/2008 16:41
Копия темы
.
Это не уязвимость – это просто тупость. чему так радоваться – непонятно.
.
Это не уязвимость – это просто тупость. чему так радоваться – непонятно.
informatic
Сообщение
06/01/2008 17:45
Копия темы
.
и Вы оба неправы. Для нахождения файла я использовал уязвимость
.
и Вы оба неправы. Для нахождения файла я использовал уязвимость
green056
Сообщение
06/01/2008 18:50
Копия темы
.
если честно, здесь не так много программистов) и мало кто это оценит_)
.
если честно, здесь не так много программистов) и мало кто это оценит_)
informatic
Сообщение
06/01/2008 18:57
Копия темы
.
я выложил для смеха, смеха с той тупости которую допустили авторы сайта.
А не для того чтобы показать какой я мегахацкер или доказывать чтолибо комулибо
.
я выложил для смеха, смеха с той тупости которую допустили авторы сайта.
А не для того чтобы показать какой я мегахацкер или доказывать чтолибо комулибо
informatic
Сообщение
06/01/2008 18:59
Копия темы
.
я до сих пор в шоке 0_о вот это гениальные умы программистов...
.
я до сих пор в шоке 0_о вот это гениальные умы программистов...
csky
Сообщение
06/01/2008 18:59
Копия темы
.
1) выглядит это как раз как я мегахацкер
2) Внутри есть гораздо более смешные вещи, учите программирование.
.
1) выглядит это как раз как я мегахацкер
2) Внутри есть гораздо более смешные вещи, учите программирование.
Svyatozar
Сообщение
06/01/2008 19:01
Копия темы
.
Не надо быть программистом чтобы оценить сей маразм :) хранить пароли в текстовом файлике в корневой папке,это бред полный! В корне лежит index.html, на неё попадает любой пользователь, значит правила авторизации и аутентификации на корневуюю папку не действуют, к ней открыт полный доступ. И я не знаю кем надо быть что бы кинуть в эту же папку файлик с паролями :) :) :)
.
Не надо быть программистом чтобы оценить сей маразм :) хранить пароли в текстовом файлике в корневой папке,это бред полный! В корне лежит index.html, на неё попадает любой пользователь, значит правила авторизации и аутентификации на корневуюю папку не действуют, к ней открыт полный доступ. И я не знаю кем надо быть что бы кинуть в эту же папку файлик с паролями :) :) :)
informatic
Сообщение
06/01/2008 19:02
Копия темы
.
Это не ко мне =)
Я не в праве решать такие вопросы
.
Это не ко мне =)
Я не в праве решать такие вопросы
informatic
Сообщение
06/01/2008 19:04
Копия темы
.
Ошибаетесь Илья, сначала я нашел уязвимость, а потом использовав её вышел на содержимое хостинга, где случайно нашел открытые пароли.
.
Ошибаетесь Илья, сначала я нашел уязвимость, а потом использовав её вышел на содержимое хостинга, где случайно нашел открытые пароли.
informatic
Сообщение
06/01/2008 19:05
Копия темы
.
сама уязвимость вовсе нет, так как нашел её исключительно "балуясь" с url`ом, а вот результат... неожиданный =) =) =)
.
сама уязвимость вовсе нет, так как нашел её исключительно "балуясь" с url`ом, а вот результат... неожиданный =) =) =)
informatic
Сообщение
06/01/2008 19:07
Копия темы
.
+1
к любому файлу можно задавать разные права.
В этом весь прикол =)
.
+1
к любому файлу можно задавать разные права.
В этом весь прикол =)
Svyatozar
Сообщение
06/01/2008 19:07
Копия темы
.
можно конечно не спорю :) но в нашем случае работали либо полные идиоты либо правокаторы :)
.
можно конечно не спорю :) но в нашем случае работали либо полные идиоты либо правокаторы :)
csky
Сообщение
06/01/2008 19:08
Копия темы
.
тогда и говорить надо об уязвимости, а не о файле. Такой файл есть у очень многих сайтов.
.
тогда и говорить надо об уязвимости, а не о файле. Такой файл есть у очень многих сайтов.
Svyatozar
Сообщение
06/01/2008 19:09
Копия темы
.
+1 про php сказать ничего не могу, а в ASPX так и делаю. см. ниже :)
.
+1 про php сказать ничего не могу, а в ASPX так и делаю. см. ниже :)
csky
Сообщение
06/01/2008 19:09
Копия темы
.
это просто пример раздолбайства. При передаче сайта скорее всего просто не удалили файл.
.
это просто пример раздолбайства. При передаче сайта скорее всего просто не удалили файл.
informatic
Сообщение
06/01/2008 19:15
Копия темы
.
Понимаете, тут дело кокраз не в уязвимости.
Я не знаю каким нужно быть наивным, чтобы в файлик в корне записывать все админские логины и пароли на ФТП, админку сайта и БД...
я понимаю, например можно запомнить пароль от ФТП... а папках с закрытым доступом хранить остальные пароли (Раз память туга) ...
да и то зашифрованные. Но нет – а зачем? А умный, для хаккеров подарок – чистые пароли и логины.
.
Понимаете, тут дело кокраз не в уязвимости.
Я не знаю каким нужно быть наивным, чтобы в файлик в корне записывать все админские логины и пароли на ФТП, админку сайта и БД...
я понимаю, например можно запомнить пароль от ФТП... а папках с закрытым доступом хранить остальные пароли (Раз память туга) ...
да и то зашифрованные. Но нет – а зачем? А умный, для хаккеров подарок – чистые пароли и логины.
informatic
Сообщение
06/01/2008 19:16
Копия темы
.
Не только. Не выполнили даже самый дешевый аудит. Остались самые тупые уязвимости..
.
Не только. Не выполнили даже самый дешевый аудит. Остались самые тупые уязвимости..
csky
Сообщение
06/01/2008 19:22
Копия темы
.
дешевого аудита не бывает. Таких сайтов в сети куча и еще чуть-чуть. Сейчас многие считают себя веб-программистами.
.
дешевого аудита не бывает. Таких сайтов в сети куча и еще чуть-чуть. Сейчас многие считают себя веб-программистами.
informatic
Сообщение
06/01/2008 19:33
Копия темы
.
Давайте на "ты", если Вы не против (Я со всеми на "ты, просто Вы на "Вы" разговариваете и мне неудобно перейти на "ты" первым)
Дешевый имеется в виду "поверхностный", короче как простое тестирование сайта, направленное не сколько как на обеспечение безопасности, а как на нахождение "косячков" натяжки дизайна, перепутанных местами страниц и т.д.
.
Давайте на "ты", если Вы не против (Я со всеми на "ты, просто Вы на "Вы" разговариваете и мне неудобно перейти на "ты" первым)
Дешевый имеется в виду "поверхностный", короче как простое тестирование сайта, направленное не сколько как на обеспечение безопасности, а как на нахождение "косячков" натяжки дизайна, перепутанных местами страниц и т.д.
green056
Сообщение
06/01/2008 19:59
Копия темы
.
не вижу смысла смеяться, ладно бы это был бы какой-то серьезный проект, а так мало ли лапухов на свете..
.
не вижу смысла смеяться, ладно бы это был бы какой-то серьезный проект, а так мало ли лапухов на свете..
informatic
Сообщение
06/01/2008 20:07
Копия темы
.
да не я просто в шоке, а на базе шока уже и истерика + смех
.
да не я просто в шоке, а на базе шока уже и истерика + смех
csky
Сообщение
06/01/2008 20:27
Копия темы
.
тестирование – это тестирование, а аудит – это уже разговор о безопасности(в данном контексте). Я предпочитаю на вы.
.
тестирование – это тестирование, а аудит – это уже разговор о безопасности(в данном контексте). Я предпочитаю на вы.
informatic
Сообщение
06/01/2008 20:57
Копия темы
.
Действительно, я ошибся.
Но тем не менее суть не меняется (самого вопроса). Такую тупую уязвимость должен был закрыть сам программист, ещё на стадии разработки
.
Действительно, я ошибся.
Но тем не менее суть не меняется (самого вопроса). Такую тупую уязвимость должен был закрыть сам программист, ещё на стадии разработки
informatic
Сообщение
06/01/2008 20:58
Копия темы
.
ну и рассказать о мерах безопасности, о том где можно и нельзя хранить пароли
.
ну и рассказать о мерах безопасности, о том где можно и нельзя хранить пароли
csky
Сообщение
06/01/2008 21:13
Копия темы
.
я так и сказал, просто безответственное отношение. Ничего необычного.
0
.
я так и сказал, просто безответственное отношение. Ничего необычного.