В случая отново с неправилно валидиране на заявки към базата данни - mysql

bourgas.org

[username] => bourgas
[password] => jksdg****
[database] => bourgas

flagman.bg

[username] => besove
[password] => dsfr****
[database] => besove

Явно инсталацията на Windows 7 на лаптоп Lenovo G50 се оказва поне на този етап мисия със съмнителен край. Става дума инсталация от диск, а не от флашки и т.н.

Оскъдната информация, която има в Интернет е да се променят ACPI настройките в BIOS. По подразбиране е версия 5 и трябва да се смени на версия 4.
Също така следната опция: OS optimized defaults трябва да се смени на: Other OS
Както и Boot Mode трябва да е на: Legacy Support
Преди това може да излючим опцията Secure Boot в Security таба, когато Boot Mode е на: UEFI.

Обаче за съжаление тези настройки не работят при мен. Винаги се получава BSOD със следната грешка:
The BIOS in this system is not fully ACPI compliant Stop 0x000000A5

Единствената неяснота е  от къде да се смени ACPI към версия 4....никъде в BIOS няма такава настройка, освен в таба Exit и опцията OS optimized defaults - когато е на Win7 OS пише, че настройва ACPI на версия 4.0

Всичко това с версия на BIOS: A7CN25WW

Идеи ?

Ето и една уеб компания, която не обръща особено внимание на сигурността.
На който му се занимава да действа...както и който желае сам ще разбере коя е.

Отново лесен достъп до всички по долу изброени бази данни, както и инфото в тях.
Няма да ми стигне времето да уведомя всички за жалост....

        odbuser:103dcb666ac59d78:localhost
        e-therapybg.com:76fccd9873766447:localhost
        e-therapybg_com:76fccd9873766447:localhost
        ianatour:39a461175367530c:localhost
        imotifendora:1dce69c7733800ed:localhost
        weekpres:1d8695da0b4e3f84:localhost
        roundcube:4376cfff435ecd4f:localhost
        borey:5dd5c68d34f46071:localhost
        bulgaria:4f2162a7161dc07b:localhost
        leadersb:0af771547f37eca0:localhost
        techwave:63c2b3b104db4f41:localhost
        radio:6d6b4bf6293430ec:localhost
        biblewor:48d37e5173382352:localhost
        tenzor:6b8b89af27bea165:localhost
        mmd:1c22d4bd4bb13241:localhost
        pove4eforum:1509b3dc13adb701:localhost
        userpasat:688f15665b4c56ba:localhost
        bodimir:4fd2553a0a48df70:213.130.85.125
        rentauto_db:1937f5ea524d6b8f:localhost
        global_bg:580ba8f2226ca421:localhost
        acet:7605708c130d167e:localhost
        boreyart:5a00bbfe51cde1ab:localhost
        iicsofia_mysql:141c3a415190c1fe:localhost
        til_mysql:441a66100b486124:localhost
        europe:1bf28d0d57f3711d:localhost
        PRESZONA:1f0f40370c54667a:localhost
        tany:3dabaa3545fcfda0:localhost
        satirata_mysql:494fb54c7db59440:localhost

       
        Бази данни:
       
        2EMKO
        4SEASONS
        ABONAMENTI
        ADCARE_BG
        ADORA
        ADORA2
        ADS-CONSULT
        AIR_VORTEX
        ALADINO
        ALAUDIO
        ALPHAGRISSIN
        ALPHASERVICE
        ALPINA
        AMAZONCA
        ANRAD
        ANRAD_EU
        AQUATICA
        ARGOGROUP
        ARTBG
        ARTDEKO
        ASTRA_BG
        ATLASCOM_BG
        AUDITORIUM
        AUTORENT
        AVENTURA
        AVTOBEDA
        AZOLA
        BALKANSTROY_COM
        BALMAX
        BANSKO
        BCC
        BCNL_SOCIAL
        BECLEANY_COM
        BETONSTROY
        BGHK
        BGPROPERTY-MANAGEMENT
        BGPROPERTYINVESTMENT
        BLAGOTVORITEL
        BOHEMIA
        BOOKHOUSE_BG
        BOREY
        BOREYART
        BORIMA
        BOYMAR
        BOYMAR2
        BRAINSTORM
        BULARCH
        BULCOM2000
        BULENGINEERING
        BULGARIA-GUIDE
        BULGARIA-GUIDE_CH
        BULGARIAHOLIDAYS
        BULGARIAHOLIDAYS_NEW
        BULHOUSE
        BULPROFOR_ORG
        BULSAADV
        BURO-RADETSKY_BG
        BURZO
        CAIXASWEDEN
        CG
        CHERGA_BG
        CLASSICA
        CLUBCAMAY_COM
        COMPUTEAM
        COMPUTEAM_COPY
        COMPUTERS
        CREDITGROUP
        CREDITGROUP_TEST
        CREDITGROUP_TEST2
        DANTHERM-BG_COM
        DEMOKARTA
        DEXIA
        DIGIHOST
        DIGITALSOL_NET
        DKER
        DODO
        DOMOSTROENE
        DOTP
        EAGLESPARTNERS
        EGIDA_SOFIA
        ELECTROIMPEX
        ELEXIM
        EMERALDTR
        EMERALDTR2
        EMIRO
        ENCO_VENDING
        ESTERVIL
        EUROCARGO_BG
        EUROPECOSMETICS_NET
        EUROPE_FORUM
        EUROPRINT
        EVANGELSKIVESTNIK
        EVELINAPAPAZOVA_COM
        EXTREMUMBG
        E_THERAPYBG_COM
        FAMOSSO
        FEBS
        FENDORA_COM
        FENERITE_COM
        FIRMI
        FMA
        FORCEDELTA
        FORESTRY
        FOTOPORTAL
        FR5
        FRODY
        FS
        FURNITURE
        GAL2
        GAZTRADE
        GENERALINS
        GENOV
        GIARDINI_DI_LUKA
        GIARDINI_DI_LUKA2
        GIARDINI_DI_LUKA_OLD
        GLOBAL_BG
        GONEWS
        GRAWE
        GROUP_HSS
        HAJTOV
        HARISKOVI
        HAZELBOOKS
        HEDGESTRATEGIES_NET
        HERNIA_VITA_BG
        HOTELANELI
        HOTELBULGARIABANSKO
        HOTELKATARINO
        HOTELPERUNBANSKO
        HOTELSELENA
        HRADIO
        HRISTIYANSTVOTO
        IANATOUR
        IANATOUR_PAY
        ICQ_CAT
        IIC_SOFIA
        IMOTI_BALKANSTROY_COM
        IMRO
        IMRO_BG
        IMRO_NEW_TEST
        IMRO_TEST
        INDUSTRIALSTIL
        INFOSOFIA
        INTERTRADE-M
        INTRACOM
        IPN_BG_COM
        JDESIGN
        JDESIGN_TEST
        JELEZAROV
        JOBS_ISPERIH
        JOM
        JTDFURNIR
        KAMEIA
        KARANA_BG
        KERAGLASS
        KERANOVA
        KOGER
        KOLBIS_PSIT
        KOLEDA
        KROUM
        LBS
        LBS_CO
        LEADERS_BG
        LEADERS_BG_2003
        LEADERS_BG_2004
        LEADERS_BG_2005
        LEADERS_BG_2005_MAY
        LEADERS_UM
        LEADERS_UM_2
        LIVEHELP
        LUKOIL
        LUXURY
        LUXURYLIFE
        MACMAN_PROJECT
        MAINING
        MARNIE
        MARVET_FTP
        MASTERCOOL-BG_COM
        MATEKO
        MEIK98WINES_COM
        METZ
        MIROTVOREC
        MONTESORI
        MOUNTAIN_PARADISE
        MRRB
        MRRB2
        MULTIMAXTRADING
        MYEUROPEATSCHOOL
        NIKOL
        NOVOPOKOLENIE
        NSI
        NSI_KONF
        NSI_PREBROIAVANE
        OBIAVI
        OBIAVI2
        ODANSTRAVEL
        ODANSTRAVEL_TEST
        ORLINOVA
        PARKHOTELPIRIN
        PARKINGBG
        PASAT_BG
        PASAT_BG_NEW
        PEAKVIEW
        PENSOFT
        PERIVOLASBG
        PHPCOIN
        PHPGRID
        PIRINGOLF
        PIZZABACI_COM
        PLAMENSTOYANOV
        POLY96
        POOLS
        POVE4E_COM
        PRAZNIK
        PRESZONA
        PRILEP-M_COM
        PRINTIRAM
        PROARCH
        PROFILES
        PROGNOSYS
        RAD
        RADCOM
        RADIOFRESH
        REAL_M
        REA_BG
        REA_BG_OLD
        REFERENDUM
        RENTAUTO_BG
        RHOLIDAY
        ROGARGA
        ROSAIMPEX
        RUDRAAKSHA
        SAAV
        SAFOPARTY
        SAMSTAG
        SAMSTAG_TEXT
        SATIRATA
        SAVECARD
        SCALES
        SEECONSULTING
        SG_BG
        SG_BG_COM
        SHARP
        SIKO_S
        SLANCHOGLEDI
        SLATINACENTER_COM
        SLATINAFLATS_COM
        SNOOPYKIDS_COM
        SOFIATHEATRE
        SOKSLAVIA
        STAREQUIPHOTEL
        STUDIO865_ORG
        STYBOX
        SUNRISEBANKIA
        SVEKATERINA
        TALONI_BG
        TANITA_T
        TCON
        TECHNOBIOS
        TENZOR
        TESHEVO
        TESTBAZA
        THCAUDIO
        THEPROJECT
        THERMAL_BG
        TIL_BG
        TOPTRAVELS
        TOURCHANCE
        TOYEXPOBG
        TRIADA
        TVARTBG
        UHSEK2
        UHY
        UNICONSULTING_NET
        UNIGELBG
        UNIMASTERS
        UNIVERSCONSULT_COM
        UPEEF_EU
        VIPNT
        VITA
        VITAESTETIK
        VLADIMIRTOSHEV
        VLAET
        VMA
        VMA_CONGRESS
        VMREJA
        WEBDESIGN
        WEBDESIGN_OLD
        WINEBUTIK
        YANADEL_COM
        YANTRABG
        YANTRABG_OLD
        ZAMPERLA
        ZASTRAHOVATEL
        ZEBRA_PAPER
        aaa89_FURNITURE
        acet
        anrad_main
        astrabg
        atlascom
        balkans_piringbg
        bcnl
        bcnl_forum
        bhouses
        bhouses_copy
        biblewor
        bodimir
        borima2
        bulkor
        casadelm_industria
        census2011
        crm
        database
        emerald_4
        emerald_42
        fman
        forum_maxima
        freshclean_net_fman
        geohide
        gunsbrokers_db
        i_rabota
        jen
        jru
        kolbis
        leaders
        maxim
        milennews
        mmdpartners
        mnoGoSearch
        mnoGoSearch2
        murgavets
        mysql
        novi_theatre
        novi_theatre_latin1
        novzavet
        ojs
        olimpia
        pensofto_zk
        reminders
        rents
        rogarga_mysql
        roundcubemail
        sharlopoveu
        slaveikov_org
        sofia_inside
        spadevin
        tany
        techno
        test
        theatre
        theatre1
        tot
        veren_org
        viaexpo
        vt
        wbb
        week1
        yantrabg_2
        yantrabg_copy
        yes
        yes1
        yes_shared

Следващия сайт, който имаше много лесни за изпълнение атаки, свързани с неправилно обработване на потребителските заявки и изпълнение на sql injection атака е:

уеб сайт:  http://www.novinar.net

Прави ми впечатление, че много от сайтовете са правени от "сериозни" фирми в бранша. фирми с богато портфолио, фирми които взимат доста пари за реализиране на подобен род уеб сайтове.
А в същото време - допускане на елементарни грешки свързани с неправилно филтриране и валидиране на входните данни.
Та това дори начинаещите уеб програмисти го знаят и учат, колко е важно.
За мен си е чиста "кражба" на много пари от хора и фирми, които не са наясно с нещата свързани с цялостното изграждане на един сайт.
Все пак освен да е функционален и подреден, да не забравяме че трябва и да е максимално сигурен.

Странно...не мисля, че съм първия, който открива тези елементарни уязвимости?!?
Как така никой не ги е хакнал досега?
Или вече не е модерно да се правиш на "хакер" и децата се занимават с други неща...или пък отдавна вече някой го е направил и злоупотребява с потребителските данни - мейли, пароли, документи.
Ако напоследък и не само сте имали "странни" проблеми с електронната поща, със сайтове за електронна търговия където имате регистрации, сайтове като ebay, paypal, epay, asos и т.н. се замислете дали нямате и регистрация и в сайтове като този на novinar.net или aimoti.com или още доста други, които скоро ще добавя.

А най - добрата защита е - да не използвате едни и същи пароли навсякъде!

Относно горепосочения сайт на новинар, който влиза днес в "блога на срама" - отново бърз и лесен достъп до цялата база данни, на администраторите - редактори, които имат права да управляват административната част и достъп до базата данни с регистрирани потребители - над 5 000 броя.
Интересното беше, че въпреки че паролите в базата дани бяха хеширани, много от паролите на 30-те редактора бяха адски лесни, като например на потребителя: desi - парола: desi.
Друго интересно беше, че админа Николай Колев: kolev@novinar.bg си беше сложил, визуално истинския мейл, но линка сочещ от тага mailto: сочеше към друг несъществуващ мейл адрес. Според мен е нарочно - примерно да не го занимават хората с глупости, знам ли....

След моето предупреждение, последва адски бърза реакция.
Но нито едно благодаря, нито стон, нито звук.
Писах им втори път относно мейла на админа и веднага го оправиха, но отново нищо.
Писмата бяха с копие и до председателя на борда на редакторите (или нещо подобно) - Любен Дилов - син.
Дори и той не си направи труда да бъде любезен.

Чудя се дали да не публикувам някъде базата данни с техните потребители?
Или пък понеже още не са запушили една пролука да не започна да публикувам новини, да променям новини и да им съсипя сайта....мислех си да сложа: "Иван Костов почина" или пък "Любен Дилов се ожени на Червено море" ... ;)

Ако на някой му се занимава - да действа, все още не са закърпили нещата, и това е така защото не знаят какво да търсят. Този път няма да им кажа.

Така,

реших да споделя резултатите от едни кратки "проучвания" които правя понякога.
Става дума за проверка на уеб сайтове подвизаващи се из родното Интернет пространство.

Одита е базиран предимно на елементарни неща - неправилно валидиране на потребителски заявки, sql injection техники и т.н.

Тоест неща, които лесно всеки с базови познания може да направи. Което прави нещата още по зле за уеб страниците страдащи от проблеми със сигурността. Защото както се казва всеки един тинейджър може лесно да ги реализира и навреди.

Искам да споделя и нещо друго - след откриване на някаква уязвимост, предупреждавам всеки собственик на сайт за проблема, като дори и предлагам съдействие за решаването му.
Но се натъквам всеки ден на ужасно безхаберие и непукизъм. Системите остават с дни, седмици и месеци непоправени.
"Ааа и какво като има достъп до базата ни данни...?!?" - това са редовните изказвания, направени с много ирония доста често.
Отношението вместо да е дружелюбно обикновенно е злобно!
Разбира се има и хора, които ти благодарят и се държат дружелюбно.

Ами след като е така нека им направим - "блог на срама"

Започвам с "жертвата" за днес, останалите по - нататък:

1. Уеб сайт: www.aimoti.com/

Web Server:     Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny2 with Suhosin-Patch
Current User:     imoti@10.0.0.163
Sql Version:     5.0.51a-21-log

Интересните бази данни са: brokersbb, imoti, newimoti, newimoti-backup
Лесно се взима база данни с над 100 000 записа - имена на клиенти, агенции и т.н. вклюващи - адреси, телефони, мейл адреси, пароли и т.н.

Само ще подскажа, че доста от хората използват едни и същи пароли на много места, нали?
Пълно безхаберие. Дори им звънях по телефона....

Специално изследване на причините за големия брой столетници в Куба установи, че тайната на дълголетието се крие в спокойния живот без прекомерно консумиране на алкохол, но с много кафе, пури и секс, предаде АФП.

Изследването е осъществено сред 54 от 100-те столетници, живеещи в кубинската провинция Вила Клара.

Според учените, направили изследването, по-голямата част от участниците са с ясно съзнание и добра памет, а въпреки годините си, продължават да извършват тежък физически труд.

Тайната на дълголетието според учените се крие в редовното, но не обилно хранене, честото пиене на кафе, пушенето и най-вече секса.

В Куба е създаден клуб на 120-годишните, който цели да увеличи броя на столетниците в страната, като разкрива чрез семинари тайните на дълголетието.

Полезен линк - световен времеви калкулатор:

www.timeanddate.com/worldclock/converter.html

Има хора, които въобще не се интересуват дали виното има нюанси на червени плодове и праскови, например, защото единственото, което искат е вино, което да подхожда на храната, която консумират.

Amazing Food Wine Company прави точно това с линията си вина Wine That Loves ( http://www.winethatloves.com/ ).
Целта е да се улеснят клиентите максимално. Всяко от предлаганите вина подхожда само на едно ястие-пица, сьомга изпечена на грил или паста с доматен сос. Ястията са избрани според това, колко са популярни сред американците.

Вината, които предлагат Wine That Loves имат „световно качество, отличителен характер и могат да очароват и най-изтънчените ценители”. Подборът им бе осъществен от Ralph Herson-известен експерт по виното.

Възможности? Тази идея може да се приложи навсякъде, може да се промени дори-да се вземе някакъв елитарен или „труден” продукт и да се направи лесен и достъпен за възможно повече хора.

Въведен вчера, онлайн магазинът 20ltd ( http://www.20ltd.com ) предлага не повече от 20 продукта във всеки един момент, които са достъпни за малък брой хора и са произведени в ограничени количества. В момента цените н апродаваните стоки са от 2900 британски лири за очила(10 чифта само са произведени) до 9000 лири за хамак покрит с кожи от черна лисица(за щастие на черните лисици само 5 такива има произведени). Всички стоки се продават само от 20ltd и не могат да бъдат намерени никъде другаде. След като наличните количества от един продукт се продадат, нов заема мястото му.    

Плановете на компанията, базирана в Англия са да продава само онлайн. 20ltd, които наричат себе си „продавачи на автентични, новаторски, красиви и неочаквани неща” се надяват да достигнат до купувачи от цял свят, включително пазарите на бързо развиващи се страни като Русия, Китай и Средния Изток.

Тъй като скъпите стоки стават все по-достъпни за все повече хора от цял свят производители и продавачи се обръщат към „огранничена наличност” като начин да привлекат купувачите, които търсят статус и признание от останалите чрез стоките, които притежават. Стратегията на 20ltd съчетава ексклузиквност с продаване само в определена тясна ниша-ограничен избор на стоки в малки количества за малка група от хора-обратното на Amazon.com, които предлагат всичко за всички.